Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Utilizzo di policy AWS gestite e ruoli collegati per gestire l'accesso degli amministratori alle risorse WorkSpaces delle applicazioni
Per impostazione predefinita, gli utenti IAM non dispongono delle autorizzazioni necessarie per creare o modificare WorkSpaces le risorse delle applicazioni o eseguire attività utilizzando l'API WorkSpaces delle applicazioni. Ciò significa che questi utenti non possono eseguire queste azioni nella console WorkSpaces Applicazioni o utilizzando i comandi AWS CLI WorkSpaces delle applicazioni. Per consentire agli utenti IAM di creare o modificare risorse ed eseguire attività, collega una policy IAM agli utenti o ai gruppi IAM che richiedono tali autorizzazioni.
Quando colleghi una policy a un utente, un gruppo di utenti o un a un ruolo IAM, l'autorizzazione per eseguire attività specificate sulle risorse specificate viene concessa o rifiutata agli utenti.
**Topics**
+ [AWS Politiche gestite necessarie per accedere alle risorse WorkSpaces delle applicazioni](managed-policies-required-to-access-appstream-resources.md)
+ [Ruoli richiesti per WorkSpaces Applications, Application Auto Scaling e AWS Certificate Manager Private CA](roles-required-for-appstream.md)
+ [Verifica del ruolo e delle politiche del servizio AmazonAppStreamServiceAccess](controlling-access-checking-for-iam-service-access.md)
+ [Verifica del ruolo di servizio e delle policy ApplicationAutoScalingForAmazonAppStreamAccess](controlling-access-checking-for-iam-autoscaling.md)
+ [Verifica del ruolo e delle policy `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` collegati al servizio](controlling-access-checking-for-iam-service-linked-role-application-autoscaling-appstream-fleet.md)
+ [Verifica del ruolo e delle politiche del AmazonAppStream PCAAccess servizio](controlling-access-checking-for-AppStreamPCAAccess.md)
# AWS Politiche gestite necessarie per accedere alle risorse WorkSpaces delle applicazioni
Per fornire un accesso amministrativo completo o di sola lettura alle WorkSpaces applicazioni, è necessario collegare una delle seguenti policy AWS gestite agli utenti o ai gruppi IAM che richiedono tali autorizzazioni. Una *policy gestita da AWS * è una policy autonoma che viene creata e amministrata da AWS. Per ulteriori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'utente di IAM*.
**Nota**
Nel AWS, i ruoli IAM vengono utilizzati per concedere autorizzazioni a un AWS servizio in modo che possa accedere alle risorse. AWS Le policy associate al ruolo determinano a quali AWS risorse il servizio può accedere e cosa può fare con tali risorse. Per WorkSpaces le applicazioni, oltre a disporre delle autorizzazioni definite nella **AmazonAppStreamFullAccess**politica, è necessario disporre anche dei ruoli richiesti nell' AWS account. Per ulteriori informazioni, consulta [Ruoli richiesti per WorkSpaces Applications, Application Auto Scaling e AWS Certificate Manager Private CA](roles-required-for-appstream.md).
**AmazonAppStreamFullAccess**
Questa politica gestita fornisce l'accesso amministrativo completo alle risorse delle WorkSpaces applicazioni. Per gestire WorkSpaces le risorse delle applicazioni ed eseguire azioni API tramite l'interfaccia a riga di AWS comando (AWS CLI), l' AWS SDK o la console di AWS gestione, è necessario disporre delle autorizzazioni definite in questa politica.
Se accedi alla console delle WorkSpaces applicazioni come utente IAM, devi allegare questa policy al tuo. Account AWS Se accedi con la federazione della console, devi collegare questa policy al ruolo IAM utilizzato per la federazione.
Per visualizzare le autorizzazioni relative a questa politica, consulta [AmazonAppStreamFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamFullAccess.html).
**AmazonAppStreamReadOnlyAccess**
Questa politica basata sull'identità concede agli utenti autorizzazioni di sola lettura per visualizzare e monitorare le risorse delle applicazioni e le relative configurazioni dei servizi. WorkSpaces Gli utenti possono accedere alla console delle WorkSpaces applicazioni per visualizzare le applicazioni di streaming, lo stato del parco veicoli, i report sull'utilizzo e le risorse associate, ma non possono apportare modifiche. La policy include anche le autorizzazioni di lettura necessarie per supportare servizi come IAM, Application Auto Scaling CloudWatch e per abilitare funzionalità complete di monitoraggio e reporting.
Per visualizzare le autorizzazioni relative a questa politica, consulta. [AmazonAppStreamReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamReadOnlyAccess.html)
La console WorkSpaces Applicazioni utilizza un'azione aggiuntiva che fornisce funzionalità non disponibili tramite AWS CLI o AWS SDK. Le **AmazonAppStreamReadOnlyAccess**politiche **AmazonAppStreamFullAccess**and forniscono entrambe le autorizzazioni per l'azione seguente.
| Azione | Description | Livello di accesso |
| --- | --- | --- |
| DescribeImageBuilders | Se vengono forniti i nomi degli sviluppatori di immagini, concede l'autorizzazione per recuperare un elenco che descrive uno o più image builder. In caso contrario, sono descritti tutti gli sviluppatori di immagini nell'account | Lettura |
**AmazonAppStreamPCAAccess**
Questa politica gestita fornisce l'accesso amministrativo completo alle risorse CA private di AWS Certificate Manager nel tuo AWS account per l'autenticazione basata su certificati.
Per visualizzare le autorizzazioni relative a questa politica, consulta. [AmazonAppStreamPCAAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamPCAAccess.html)
**AmazonAppStreamServiceAccess**
Questa politica gestita è la politica predefinita per il ruolo di servizio WorkSpaces Applicazioni.
Questa politica di autorizzazione dei ruoli consente alle WorkSpaces applicazioni di completare le seguenti azioni:
+ Quando si utilizzano le sottoreti nell'account per WorkSpaces le flotte di WorkSpaces applicazioni, Applications è in grado di descrivere le sottoreti e le zone di disponibilità VPCs, nonché di creare e gestire il ciclo di vita di tutte le interfacce di rete elastiche associate alle istanze della flotta in tali sottoreti. Ciò include anche la possibilità di collegare gruppi di sicurezza e indirizzi IP da tali sottoreti a tali interfacce di rete elastiche.
+ Quando utilizza funzionalità come UPP e HomeFolders, WorkSpaces Applications è in grado di creare e gestire bucket Amazon S3, oggetti e relativi cicli di vita, policy e configurazione di crittografia nell'account. Questi bucket includono i seguenti prefissi di denominazione:
+ `"arn:aws:s3:::appstream2-36fb080bb8-",`
+ `"arn:aws:s3:::appstream-app-settings-",`
+ `"arn:aws:s3:::appstream-logs-"`
Per visualizzare le autorizzazioni relative a questa politica, vedere. [AmazonAppStreamServiceAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamServiceAccess.html)
**ApplicationAutoScalingForAmazonAppStreamAccess**
Questa policy gestita consente la scalabilità automatica delle applicazioni per le applicazioni. WorkSpaces
Per visualizzare le autorizzazioni relative a questa politica, vedere. [ApplicationAutoScalingForAmazonAppStreamAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ApplicationAutoScalingForAmazonAppStreamAccess.html)
**AWSApplicationAutoscalingAppStreamFleetPolicy**
Questa politica gestita concede le autorizzazioni per Application Auto Scaling per accedere alle WorkSpaces applicazioni e. CloudWatch
Per visualizzare le autorizzazioni relative a questa politica, vedere. [AWSApplicationAutoscalingAppStreamFleetPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSApplicationAutoscalingAppStreamFleetPolicy.html)
## WorkSpaces Aggiornamenti delle applicazioni alle politiche AWS gestite
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per le WorkSpaces applicazioni da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per gli avvisi automatici sulle modifiche apportate alla pagina, iscriviti al feed RSS alla pagina [Cronologia dei documenti per WorkSpaces le applicazioni Amazon](doc-history.md).
| Modifica | Descrizione | Data |
| --- | --- | --- |
| AmazonAppStreamServiceAccess — Modifica | Sono state aggiunte le autorizzazioni di autorizzazione `"ec2:DescribeImages"` per il documento di policy JSON | 17 novembre 2025 |
| AmazonAppStreamReadOnlyAccess — Cambia | Rimosso `"appstream:Get*",` dal documento di policy JSON | 22 ottobre 2025 |
| WorkSpaces Le applicazioni hanno iniziato a tracciare le modifiche | WorkSpaces Le applicazioni hanno iniziato a tenere traccia delle modifiche relative alle politiche AWS gestite | 31 ottobre 2022 |
# Ruoli richiesti per WorkSpaces Applications, Application Auto Scaling e AWS Certificate Manager Private CA
Nel AWS, i ruoli IAM vengono utilizzati per concedere autorizzazioni a un AWS servizio in modo che possa accedere alle AWS risorse. Le policy associate al ruolo determinano a quali AWS risorse il servizio può accedere e cosa può fare con tali risorse. Per WorkSpaces le applicazioni, oltre a disporre delle autorizzazioni definite nella **AmazonAppStreamFullAccess**politica, è necessario disporre anche dei seguenti ruoli nell' AWS account.
**Topics**
+ [AmazonAppStreamServiceAccess](#AmazonAppStreamServiceAccess)
+ [ApplicationAutoScalingForAmazonAppStreamAccess](#ApplicationAutoScalingForAmazonAppStreamAccess)
+ [AWSServiceRoleForApplicationAutoScaling\$1AppStreamFleet](#AWSServiceRoleForApplicationAutoScaling_AppStreamFleet)
+ [AmazonAppStreamPCAAccess](#AppStreamPCAAccess)
## AmazonAppStreamServiceAccess
Questo ruolo è un ruolo di servizio che viene creato automaticamente quando inizi a utilizzare WorkSpaces Applicazioni in una AWS regione. Per ulteriori informazioni sui ruoli dei servizi, consulta [Creazione di un ruolo per delegare le autorizzazioni a un AWS servizio nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) per l'*utente IAM*.
Durante la creazione delle risorse delle WorkSpaces Applicazioni, il servizio WorkSpaces Applicazioni effettua chiamate API ad altri AWS servizi per conto dell'utente assumendo questo ruolo. Per creare i parchi istanze, devi disporre di questo ruolo nell'account. Se questo ruolo non è incluso nel tuo AWS account e le autorizzazioni IAM richieste e le politiche di relazione di fiducia non sono allegate, non puoi creare flotte di WorkSpaces applicazioni.
Per ulteriori informazioni, consulta la sezione [Verifica del ruolo e delle politiche del servizio AmazonAppStreamServiceAccess](controlling-access-checking-for-iam-service-access.md) per verificare se il ruolo di **AmazonAppStreamServiceAccess**servizio è presente e se sono allegate le politiche corrette.
**Nota**
Questo ruolo di servizio può avere autorizzazioni diverse da quelle del primo utente che inizia a usare WorkSpaces Applications. Per i dettagli sulle autorizzazioni di questo ruolo, vedere «AmazonAppStreamServiceAccess» in. [AWS Politiche gestite necessarie per accedere alle risorse WorkSpaces delle applicazioni](managed-policies-required-to-access-appstream-resources.md)
## ApplicationAutoScalingForAmazonAppStreamAccess
Questo ruolo è un ruolo di servizio che viene creato automaticamente quando inizi a usare WorkSpaces Applicazioni in una AWS regione. Per ulteriori informazioni sui ruoli dei servizi, consulta [Creazione di un ruolo per delegare le autorizzazioni a un AWS servizio nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) per l'*utente IAM*.
Il ridimensionamento automatico è una funzionalità delle flotte di applicazioni. WorkSpaces Per configurare le politiche di scalabilità, devi avere questo ruolo di servizio nel tuo account. AWS Se questo ruolo di servizio non è incluso nel tuo AWS account e le autorizzazioni IAM richieste e le politiche di relazione di fiducia non sono allegate, non puoi scalare le flotte di WorkSpaces applicazioni.
Per ulteriori informazioni, consulta [Verifica del ruolo di servizio e delle policy ApplicationAutoScalingForAmazonAppStreamAccess](controlling-access-checking-for-iam-autoscaling.md).
## AWSServiceRoleForApplicationAutoScaling\$1AppStreamFleet
Si tratta di un ruolo collegato al servizio che viene creato automaticamente per l'utente. Per ulteriori informazioni, consulta [Ruoli collegati ai servizi](https://docs.aws.amazon.com/autoscaling/application/userguide/application-auto-scaling-service-linked-roles.html) nella *Guida per l'utente di Application Auto Scaling*.
Application Auto Scaling utilizza un ruolo collegato al servizio per eseguire il dimensionamento automatico per conto dell'utente. Un *ruolo collegato al servizio è un ruolo* IAM collegato direttamente a un servizio. AWS Questo ruolo include tutte le autorizzazioni richieste dal servizio per chiamare altri AWS servizi per tuo conto.
Per ulteriori informazioni, consulta [Verifica del ruolo e delle policy `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` collegati al servizio](controlling-access-checking-for-iam-service-linked-role-application-autoscaling-appstream-fleet.md).
## AmazonAppStreamPCAAccess
Questo ruolo è un ruolo di servizio che viene creato automaticamente quando inizi a usare WorkSpaces Applicazioni in una AWS regione. Per ulteriori informazioni sui ruoli dei servizi, consulta [Creazione di un ruolo per delegare le autorizzazioni a un AWS servizio nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) per l'*utente IAM*.
L'autenticazione basata su certificati è una funzionalità delle flotte di WorkSpaces applicazioni unite ai domini Microsoft Active Directory. Per abilitare e utilizzare l'autenticazione basata su certificati, devi avere questo ruolo di servizio nel tuo account. AWS Se questo ruolo di servizio non è presente nel tuo AWS account e le autorizzazioni IAM richieste e le politiche di relazione di fiducia non sono allegate, non puoi abilitare o utilizzare l'autenticazione basata su certificati.
Per ulteriori informazioni, consulta [Verifica del ruolo e delle politiche del AmazonAppStream PCAAccess servizio](controlling-access-checking-for-AppStreamPCAAccess.md).
# Verifica del ruolo e delle politiche del servizio AmazonAppStreamServiceAccess
Completa la procedura in questa sezione per controllare se il ruolo di servizio **AmazonAppStreamServiceAccess** è presente e ha le policy corrette collegate. Se questo ruolo non è presente nel tuo account e deve essere creato, tu o un amministratore con le autorizzazioni richieste dovete eseguire i passaggi per iniziare a utilizzare WorkSpaces le applicazioni nel tuo account Amazon Web Services.
**Per verificare se il ruolo del servizio AmazonAppStreamServiceAccess IAM è presente**
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione, seleziona **Ruoli**.
1. Nella casella di ricerca, digita **amazonappstreamservice** per restringere l'elenco dei ruoli da selezionare, quindi scegli. **AmazonAppStreamServiceAccess** Se questo ruolo è elencato, selezionalo per visualizzare la pagina **Summary (Riepilogo)** del ruolo.
1. Nella scheda **Autorizzazioni**, verifica che la policy di autorizzazione **AmazonAppStreamServiceAccess** sia collegata.
1. Tornare alla pagina **Summary (Riepilogo)** del ruolo.
1. Nella scheda **Relazioni di attendibilità**, scegli **Visualizza documento di policy**, quindi verifica che la policy delle relazioni di attendibilità **AmazonAppStreamServiceAccess** sia collegata e abbia il formato corretto. In questo caso, la relazione di attendibilità è configurata correttamente. Scegli **Annulla** e chiudi la console IAM.
## AmazonAppStreamServiceAccess politica in materia di relazioni di fiducia
La politica sulle relazioni di **AmazonAppStreamServiceAccess**fiducia deve includere il servizio WorkSpaces Applicazioni come principale. Un *principale* è un'entità in AWS grado di eseguire azioni e accedere alle risorse. Questa policy deve includere anche l'operazione `sts:AssumeRole`. La seguente configurazione dei criteri definisce WorkSpaces le applicazioni come entità attendibili.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "appstream.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# Verifica del ruolo di servizio e delle policy ApplicationAutoScalingForAmazonAppStreamAccess
Completa la procedura in questa sezione per controllare se il ruolo di servizio **ApplicationAutoScalingForAmazonAppStreamAccess** è presente e ha le policy corrette collegate. Se questo ruolo non è presente nel tuo account e deve essere creato, tu o un amministratore con le autorizzazioni richieste dovete eseguire i passaggi per iniziare a utilizzare WorkSpaces le applicazioni nel tuo account Amazon Web Services.
**Per verificare se il ruolo di servizio ApplicationAutoScalingForAmazonAppStreamAccess IAM è presente**
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione, seleziona **Ruoli**.
1. Nella casella di ricerca, digita **applicationautoscaling** per limitare l'elenco dei ruoli da selezionare, quindi scegli **ApplicationAutoScalingForAmazonAppStreamAccess**. Se questo ruolo è elencato, selezionalo per visualizzare la pagina **Summary (Riepilogo)** del ruolo.
1. Nella scheda **Autorizzazioni**, verifica che la policy di autorizzazione **ApplicationAutoScalingForAmazonAppStreamAccess** sia collegata.
1. Tornare alla pagina **Summary (Riepilogo)** del ruolo.
1. Nella scheda **Relazioni di attendibilità**, scegli **Visualizza documento di policy**, quindi verifica che la policy delle relazioni di attendibilità **ApplicationAutoScalingForAmazonAppStreamAccess** sia collegata e abbia il formato corretto. In questo caso, la relazione di attendibilità è configurata correttamente. Scegli **Annulla** e chiudi la console IAM.
## Policy delle relazioni di attendibilità ApplicationAutoScalingForAmazonAppStreamAccess
La policy delle relazioni di attendibilità **ApplicationAutoScalingForAmazonAppStreamAccess** deve includere il servizio Application Auto Scaling come principale. Questa policy deve includere anche l'operazione `sts:AssumeRole`. La seguente configurazione di policy definisce Application Auto Scaling come entità attendibile.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "application-autoscaling.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# Verifica del ruolo e delle policy `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` collegati al servizio
Completa la procedura in questa sezione per controllare se il ruolo collegato al servizio `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` è presente e dispone delle policy collegate corrette. Se questo ruolo non è presente nel tuo account e deve essere creato, tu o un amministratore con le autorizzazioni richieste dovete eseguire i passaggi per iniziare a utilizzare WorkSpaces le applicazioni nel tuo account Amazon Web Services.
**Per verificare se il ruolo IAM `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` collegato al servizio è presente**
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione, seleziona **Ruoli**.
1. Nella casella di ricerca, digita **applicationautoscaling** per limitare l'elenco dei ruoli da selezionare, quindi scegli `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet`. Se questo ruolo è elencato, selezionalo per visualizzare la pagina **Summary (Riepilogo)** del ruolo.
1. Nella scheda **Autorizzazioni**, verifica che sia collegata la policy di autorizzazione `AWSApplicationAutoscalingAppStreamFleetPolicy`.
1. Tornare alla pagina di riepilogo **Role (Ruolo)**.
1. Nella scheda **Relazioni di attendibilità**, scegli **Visualizza documento di policy**, quindi verifica che la policy delle relazioni di attendibilità `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` sia collegata e abbia il formato corretto. In questo caso, la relazione di attendibilità è configurata correttamente. Scegli **Annulla** e chiudi la console IAM.
## AWSServiceRoleForApplicationAutoScaling\$1AppStreamFleet politica delle relazioni di fiducia
La policy delle relazioni di attendibilità `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` deve includere **appstream.application-autoscaling.amazonaws.com** come principale. Questa policy deve includere anche l'operazione `sts:AssumeRole`. La seguente configurazione di policy definisce **appstream.application-autoscaling.amazonaws.com** come entità attendibile.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "appstream.application-autoscaling.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# Verifica del ruolo e delle politiche del AmazonAppStream PCAAccess servizio
Completa la procedura in questa sezione per controllare se il ruolo di servizio **AmazonAppStreamPCAAccess** è presente e ha le policy corrette collegate. Se questo ruolo non è presente nel tuo account e deve essere creato, tu o un amministratore con le autorizzazioni richieste dovete eseguire i passaggi per iniziare a utilizzare WorkSpaces le applicazioni nel tuo account Amazon Web Services.
**Per verificare se il ruolo del servizio AmazonAppStream PCAAccess IAM è presente**
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione, seleziona **Ruoli**.
1. Nella casella di ricerca, digita **appstreampca** per restringere l'elenco dei ruoli da selezionare, quindi scegli. **AmazonAppStreamPCAAccess** Se questo ruolo è elencato, selezionalo per visualizzare la pagina **Summary (Riepilogo)** del ruolo.
1. Nella scheda **Autorizzazioni**, verifica che sia collegata la policy di autorizzazione **AmazonAppStreamPCAAccess **.
1. Tornare alla pagina di riepilogo **Role (Ruolo)**.
1. Nella scheda **Relazioni di attendibilità**, scegli **Visualizza documento di policy**, quindi verifica che la policy delle relazioni di attendibilità **AmazonAppStreamPCAAccess ** sia collegata e abbia il formato corretto. In questo caso, la relazione di attendibilità è configurata correttamente. Scegli **Annulla** e chiudi la console IAM.
## AmazonAppStreamPCAAccess politica in materia di relazioni di fiducia
La politica sui rapporti di **AmazonAppStreamPCAAccess**fiducia deve includere prod.euc.ecm.amazonaws.com come principale. Questa policy deve includere anche l'operazione `sts:AssumeRole`. Questa configurazione di policy definisce ECM come entità attendibile.
**Per creare la politica AmazonAppStream PCAAccess di relazione di fiducia utilizzando la AWS CLI**
1. Crea un file JSON denominato `AmazonAppStreamPCAAccess.json` con il seguente testo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"prod.euc.ecm.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {}
}
]
}
```
------
1. Modifica il `AmazonAppStreamPCAAccess.json` percorso in base alle esigenze ed esegui i seguenti comandi AWS CLI per creare la politica di relazione di fiducia e allegare la politica AmazonAppStream PCAAccess gestita. Per ulteriori informazioni sulla policy gestita, consulta [AWS Politiche gestite necessarie per accedere alle risorse WorkSpaces delle applicazioni](managed-policies-required-to-access-appstream-resources.md).
```
aws iam create-role --path /service-role/ --role-name AmazonAppStreamPCAAccess --assume-role-policy-document file://AmazonAppStreamPCAAccess.json
```
```
aws iam attach-role-policy —role-name AmazonAppStreamPCAAccess —policy-arn arn:aws:iam::aws:policy/AmazonAppStreamPCAAccess
```