Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Menggunakan Peran IAM untuk Memberikan Izin ke Aplikasi dan Skrip yang Berjalan pada WorkSpaces Instans Streaming Aplikasi
<a name="using-iam-roles-to-grant-permissions-to-applications-scripts-streaming-instances"></a>

Aplikasi dan skrip yang berjalan pada instance streaming WorkSpaces Aplikasi harus menyertakan AWS kredensyal dalam permintaan API mereka. AWS Anda dapat membuat peran IAM untuk mengelola kredensil ini. Peran IAM menentukan sekumpulan izin yang dapat Anda gunakan untuk mengakses sumber daya. AWS Namun, peran ini tidak terkait secara unik dengan satu orang. Sebaliknya, dapat diasumsikan oleh siapa saja yang membutuhkannya.

Anda dapat menerapkan peran IAM ke instance streaming WorkSpaces Aplikasi. Saat instance streaming beralih ke (mengasumsikan) peran, peran tersebut memberikan kredensyal keamanan sementara. Aplikasi atau skrip Anda menggunakan kredensyal ini untuk melakukan tindakan API dan tugas manajemen pada instance streaming. WorkSpaces Aplikasi mengelola sakelar kredensyal sementara untuk Anda.

**Topics**
+ [Praktik Terbaik untuk Menggunakan Peran IAM Dengan Instans Streaming WorkSpaces Aplikasi](best-practices-for-using-iam-role-with-streaming-instances.md)
+ [Mengkonfigurasi Peran IAM yang Ada untuk Digunakan Dengan Instans Streaming WorkSpaces Aplikasi](configuring-existing-iam-role-to-use-with-streaming-instances.md)
+ [Cara Membuat Peran IAM untuk Digunakan Dengan Instans Streaming WorkSpaces Aplikasi](how-to-create-iam-role-to-use-with-streaming-instances.md)
+ [Cara Menggunakan Peran IAM Dengan Instans Streaming WorkSpaces Aplikasi](how-to-use-iam-role-with-streaming-instances.md)

# Praktik Terbaik untuk Menggunakan Peran IAM Dengan Instans Streaming WorkSpaces Aplikasi
<a name="best-practices-for-using-iam-role-with-streaming-instances"></a>

Saat Anda menggunakan peran IAM dengan instans streaming WorkSpaces Aplikasi, kami sarankan Anda mengikuti praktik berikut:
+ Batasi izin yang Anda berikan untuk tindakan dan sumber daya AWS API.

  Ikuti prinsip hak istimewa paling sedikit saat Anda membuat dan melampirkan kebijakan IAM ke peran IAM yang terkait dengan instans streaming WorkSpaces Aplikasi. Saat Anda menggunakan aplikasi atau skrip yang memerlukan akses ke tindakan atau sumber daya AWS API, tentukan tindakan dan sumber daya spesifik yang diperlukan. Kemudian, buat kebijakan yang memungkinkan aplikasi atau skrip hanya melakukan tindakan tersebut. Untuk informasi lebih lanjut, lihat [Berikan hak istimewa terkecil](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) dalam *Panduan Pengguna IAM*.
+ Buat peran IAM untuk setiap sumber daya WorkSpaces Aplikasi.

  Membuat peran IAM yang unik untuk setiap sumber daya WorkSpaces Aplikasi adalah praktik yang mengikuti prinsip hak istimewa paling sedikit. Melakukannya juga memungkinkan Anda mengubah izin untuk sumber daya tanpa memengaruhi sumber daya lainnya.
+ Batasi di mana kredensil dapat digunakan.

  Kebijakan IAM memungkinkan Anda menentukan kondisi di mana peran IAM Anda dapat digunakan untuk mengakses sumber daya. Misalnya, Anda dapat menyertakan kondisi untuk menentukan rentang alamat IP tempat permintaan dapat berasal. Melakukannya mencegah kredensyal digunakan di luar lingkungan Anda. Untuk informasi selengkapnya, lihat [Menggunakan Ketentuan Kebijakan untuk Keamanan Ekstra](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#use-policy-conditions) di *Panduan Pengguna IAM*.

# Mengkonfigurasi Peran IAM yang Ada untuk Digunakan Dengan Instans Streaming WorkSpaces Aplikasi
<a name="configuring-existing-iam-role-to-use-with-streaming-instances"></a>

Topik ini menjelaskan cara mengonfigurasi peran IAM yang ada sehingga Anda dapat menggunakannya dengan pembuat gambar dan instance streaming armada.

**Prasyarat**

Peran IAM yang ingin Anda gunakan dengan pembuat gambar WorkSpaces Aplikasi atau instance streaming armada harus memenuhi prasyarat berikut:
+ Peran IAM harus berada di akun Amazon Web Services yang sama dengan instans streaming WorkSpaces Aplikasi.
+ Peran IAM tidak dapat menjadi peran layanan.
+ Kebijakan hubungan kepercayaan yang dilampirkan pada peran IAM harus mencakup layanan WorkSpaces Aplikasi sebagai prinsipal. *Principal* adalah entitas AWS yang dapat melakukan tindakan dan mengakses sumber daya. Kebijakan juga harus mencakup `sts:AssumeRole` tindakan. Konfigurasi kebijakan ini mendefinisikan WorkSpaces Aplikasi sebagai entitas tepercaya.

  
+ Jika Anda menerapkan peran IAM ke pembuat gambar, pembuat gambar harus menjalankan versi agen WorkSpaces Aplikasi yang dirilis pada atau setelah 3 September 2019. Jika Anda menerapkan peran IAM ke armada, armada harus menggunakan gambar yang menggunakan versi agen yang dirilis pada atau setelah tanggal yang sama. Untuk informasi selengkapnya, lihat [WorkSpaces Catatan Rilis Agen Aplikasi](agent-software-versions.md). 

**Untuk mengaktifkan prinsipal layanan WorkSpaces Aplikasi untuk mengambil peran IAM yang ada**

Untuk melakukan langkah-langkah berikut, Anda harus masuk ke akun sebagai pengguna IAM yang memiliki izin yang diperlukan untuk membuat daftar dan memperbarui peran IAM. Jika Anda tidak memiliki izin yang diperlukan, minta administrator akun Amazon Web Services Anda untuk melakukan langkah-langkah ini di akun Anda atau memberi Anda izin yang diperlukan.

1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, pilih **Peran**. 

1. Dalam daftar peran di akun Anda, pilih nama peran yang ingin Anda ubah.

1. Pilih tab **Hubungan kepercayaan**, dan kemudian pilih**Ubah hubungan kepercayaan**.

1. Di bawah **Dokumen Kebijakan**, verifikasi bahwa kebijakan hubungan kepercayaan mencakup `sts:AssumeRole` tindakan untuk kepala `appstream.amazonaws.com` layanan:

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "Service": [
             "appstream.amazonaws.com"
           ]
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   ```

------

1. Setelah selesai mengubah kebijakan kepercayaan, pilih **Perbarui Kebijakan Kepercayaan** untuk menyimpan perubahan Anda. 

1. Peran IAM yang Anda pilih akan ditampilkan di konsol WorkSpaces Aplikasi. Peran ini memberikan izin ke aplikasi dan skrip untuk melakukan tindakan API dan tugas manajemen pada instance streaming.

# Cara Membuat Peran IAM untuk Digunakan Dengan Instans Streaming WorkSpaces Aplikasi
<a name="how-to-create-iam-role-to-use-with-streaming-instances"></a>

Topik ini menjelaskan cara membuat peran IAM baru sehingga Anda dapat menggunakannya dengan pembuat gambar dan instance streaming armada.

1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, pilih **Peran**, lalu pilih **Buat peran**.

1. Untuk **Pilih tipe entitas tepercaya**, pilih **Layanan AWS **.

1. Dari daftar AWS layanan, pilih **WorkSpaces Aplikasi**.

1. Di bawah **Pilih kasus penggunaan Anda**, **WorkSpaces Aplikasi — Memungkinkan instans WorkSpaces Aplikasi untuk memanggil AWS layanan atas nama Anda** sudah dipilih. Pilih **Berikutnya: Izin**.

1. Jika memungkinkan, pilih kebijakan yang akan digunakan untuk kebijakan izin atau pilih **Buat kebijakan** untuk membuka tab browser baru dan membuat kebijakan baru dari awal. Untuk informasi selengkapnya, lihat langkah 4 dalam prosedur [Membuat Kebijakan IAM (Konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start) di *Panduan Pengguna IAM*.

   Setelah Anda membuat kebijakan, tutup tab tersebut dan kembali ke tab asli Anda. Pilih kotak centang di samping kebijakan izin yang ingin dimiliki WorkSpaces Aplikasi.

1. (Opsional) Tetapkan batas izin. Ini adalah fitur lanjutan yang tersedia untuk peran layanan, tetapi bukan peran tertaut layanan. Untuk informasi selengkapnya, lihat [Batas Izin untuk Entitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) di Panduan Pengguna *IAM*.

1. Pilih **Berikutnya: Tanda**. Anda dapat secara opsional melampirkan tag sebagai pasangan nilai kunci. Untuk informasi selengkapnya, lihat [Menandai Pengguna dan Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) di Panduan Pengguna *IAM*.

1. Pilih **Berikutnya: Tinjauan**.

1. Untuk **nama Peran**, ketikkan nama peran yang unik dalam akun Amazon Web Services Anda. Karena AWS sumber daya lain mungkin mereferensikan peran, Anda tidak dapat mengedit nama peran setelah dibuat.

1. Untuk **deskripsi Peran**, simpan deskripsi peran default atau ketik yang baru.

1. Tinjau peran lalu pilih **Buat peran**.

# Cara Menggunakan Peran IAM Dengan Instans Streaming WorkSpaces Aplikasi
<a name="how-to-use-iam-role-with-streaming-instances"></a>

Setelah membuat peran IAM, Anda dapat menerapkannya ke pembuat gambar atau instance streaming armada saat meluncurkan pembuat gambar atau membuat armada. Anda juga dapat menerapkan peran IAM ke armada yang ada. Untuk informasi tentang cara menerapkan peran IAM saat Anda meluncurkan pembuat gambar, lihat[Luncurkan Image Builder untuk Menginstal dan Mengkonfigurasi Aplikasi Streaming](tutorial-image-builder-create.md). Untuk informasi tentang cara menerapkan peran IAM saat Anda membuat armada, lihat[Buat Armada di WorkSpaces Aplikasi Amazon](set-up-stacks-fleets-create.md).

Saat Anda menerapkan peran IAM ke pembuat gambar atau instance streaming armada, WorkSpaces Aplikasi mengambil kredensi sementara dan membuat profil kredensi **appstream\$1machine\$1role** pada instance. Kredensyal sementara berlaku selama 1 jam, dan kredensyal baru diambil setiap jam. Kredensyal sebelumnya tidak kedaluwarsa, sehingga Anda dapat menggunakannya selama valid. Anda dapat menggunakan profil kredensi untuk memanggil AWS layanan secara terprogram dengan menggunakan AWS Command Line Interface (AWS CLI), AWS Tools for PowerShell, atau AWS SDK dengan bahasa pilihan Anda.

Saat Anda melakukan panggilan API, tentukan **appstream\$1machine\$1role** sebagai profil kredensyal. Jika tidak, operasi gagal karena izin yang tidak mencukupi.

WorkSpaces Aplikasi mengasumsikan peran yang ditentukan saat instance streaming disediakan. Karena WorkSpaces Aplikasi menggunakan elastic network interface yang terpasang ke VPC Anda untuk panggilan AWS API, aplikasi atau skrip Anda harus menunggu elastis network interface tersedia sebelum melakukan panggilan AWS API. Jika panggilan API dilakukan sebelum elastic network interface tersedia, panggilan akan gagal.

Contoh berikut menunjukkan bagaimana Anda dapat menggunakan profil kredenal **appstream\$1machine\$1role** untuk menggambarkan instans streaming (instans EC2) dan untuk membuat klien Boto. Boto adalah Amazon Web Services (AWS) SDK untuk Python. 

**Jelaskan Instans Streaming (instans EC2) dengan Menggunakan CLI AWS **

```
aws ec2 describe-instances --region us-east-1 --profile appstream_machine_role
```

**Jelaskan Instans Streaming (instans EC2) dengan Menggunakan Alat untuk AWS PowerShell**

Anda harus menggunakan AWS Tools untuk PowerShell versi 3.3.563.1 atau yang lebih baru, dengan Amazon Web Services SDK for .NET versi 3.3.103.22 atau yang lebih baru. Anda dapat mengunduh penginstal AWS Alat untuk Windows, yang mencakup AWS Alat untuk PowerShell dan Amazon Web Services SDK untuk.NET, dari [AWS Tools PowerShell](https://aws.amazon.com/powershell/) for website.

```
Get-EC2Instance -Region us-east-1 -ProfileName appstream_machine_role
```

**Membuat Klien Boto dengan Menggunakan AWS SDK untuk Python**

```
session = boto3.Session(profile_name='appstream_machine_role')
```