翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS マネージドポリシーとリンクされたロールを使用して WorkSpaces アプリケーションリソースへの管理者アクセスを管理する
デフォルトでは、IAM ユーザーには WorkSpaces アプリケーションリソースを作成または変更したり、WorkSpaces アプリケーション API を使用してタスクを実行したりするために必要なアクセス許可はありません。つまり、これらのユーザーは WorkSpaces アプリケーションコンソールまたは WorkSpaces アプリケーション AWS CLI コマンドを使用してこれらのアクションを実行できません。IAM ユーザーがリソースを作成または変更し、タスクを実行できるようにするには、それらのアクセス許可を必要とする IAM ユーザーまたはグループに IAM ポリシーをアタッチします。
ポリシーをユーザー、ユーザーのグループ、または IAM ロールにアタッチする場合、ポリシーによって特定リソースの特定タスクを実行するユーザーの権限が許可または拒否されます。
**Topics**
+ [AWS WorkSpaces アプリケーションリソースにアクセスするために必要な管理ポリシー](managed-policies-required-to-access-appstream-resources.md)
+ [WorkSpaces アプリケーション、Application Auto Scaling、および AWS Certificate Manager プライベート CA に必要なロール](roles-required-for-appstream.md)
+ [AmazonAppStreamServiceAccess のサービスロールおよびポリシーを確認する](controlling-access-checking-for-iam-service-access.md)
+ [ApplicationAutoScalingForAmazonAppStreamAccess サービスロールとポリシーの確認](controlling-access-checking-for-iam-autoscaling.md)
+ [`AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` サービスにリンクされたロールとポリシーの確認](controlling-access-checking-for-iam-service-linked-role-application-autoscaling-appstream-fleet.md)
+ [AmazonAppStreamPCAAccess のサービスロールおよびポリシーを確認する](controlling-access-checking-for-AppStreamPCAAccess.md)
# AWS WorkSpaces アプリケーションリソースにアクセスするために必要な管理ポリシー
WorkSpaces アプリケーションへの完全な管理アクセスまたは読み取り専用アクセスを提供するには、これらのアクセス許可を必要とする IAM ユーザーまたはグループに、次のいずれか AWS の管理ポリシーをアタッチする必要があります。*AWS 管理ポリシー*は、 AWSが作成および管理するスタンドアロンポリシーです。詳細については、「IAM ユーザーガイド」の「[AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。
**注記**
では AWS、IAM ロールを使用して AWS サービスにアクセス許可を付与し、 AWS リソースにアクセスできるようにします。ロールにアタッチされているポリシーによって、サービスがアクセスできる AWS リソースと、それらのリソースで何ができるかが決まります。WorkSpaces アプリケーションの場合、**AmazonAppStreamFullAccess** ポリシーで定義されたアクセス許可に加えて、 AWS アカウントに必要なロールも必要です。詳細については、「[WorkSpaces アプリケーション、Application Auto Scaling、および AWS Certificate Manager プライベート CA に必要なロール](roles-required-for-appstream.md)」を参照してください。
**AmazonAppStreamFullAccess**
この管理ポリシーは、WorkSpaces アプリケーションリソースへの完全な管理アクセスを提供します。WorkSpaces アプリケーションリソースを管理し、コマンドラインインターフェイス (AWS CLI)、 AWS SDK、または AWS マネジメントコンソールを使用して API AWS アクションを実行するには、このポリシーで定義されているアクセス許可が必要です。
IAM ユーザーとして WorkSpaces アプリケーションコンソールにサインインする場合は、このポリシーを にアタッチする必要があります AWS アカウント。コンソールのフェデレーションを使用してサインインする場合は、フェデレーションで使用した IAM ロールにこのポリシーをアタッチする必要があります。
このポリシーのアクセス許可を確認する方法については、「[AmazonAppStreamFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamFullAccess.html)」を参照してください。
**AmazonAppStreamReadOnlyAccess**
このアイデンティティベースのポリシーは、WorkSpaces アプリケーションリソースおよび関連するサービス設定を表示およびモニタリングするための読み取り専用アクセス許可をユーザーに付与します。ユーザーは WorkSpaces アプリケーションコンソールにアクセスして、ストリーミングアプリケーション、フリートステータス、使用状況レポート、および関連リソースを表示できますが、変更を加えることはできません。このポリシーには、包括的なモニタリングとレポート機能を有効にするために、IAM、Application 自動スケーリング、CloudWatch などのサービスをサポートするために必要な読み取りアクセス許可も含まれています。
このポリシーのアクセス許可を確認する方法については、「[AmazonAppStreamReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamReadOnlyAccess.html)」を参照してください。
WorkSpaces アプリケーションコンソールは、CLI または AWS SDK AWS では利用できない機能を提供する追加のアクションを使用します。**AmazonAppStreamFullAccess** ポリシーと **AmazonAppStreamReadOnlyAccess** ポリシーのどちらも、次のアクションのアクセス許可を提供します。
| アクション | 説明 | アクセスレベル |
| --- | --- | --- |
| DescribeImageBuilders | イメージビルダー名が設定されている場合、1 つ以上の指定したイメージビルダーを記述するリストを取得する許可を付与。それ以外の場合は、アカウントのすべてのイメージビルダーが記述されます。 | 読み取り |
**AmazonAppStreamPCAAccess**
この管理ポリシーは、証明書ベースの認証のために、 AWS アカウントの Certificate Manager プライベート CA リソースへの AWS 完全な管理アクセスを提供します。
このポリシーのアクセス許可を確認する方法については、「[AmazonAppStreamPCAAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamPCAAccess.html)」を参照してください。
**AmazonAppStreamServiceAccess**
この管理ポリシーは、WorkSpaces アプリケーションサービスロールのデフォルトポリシーです。
このロールのアクセス許可ポリシーにより、WorkSpaces アプリケーションは次のアクションを実行できます。
+ WorkSpaces アプリケーションフリートのアカウントでサブネットを使用する場合、WorkSpaces アプリケーションはサブネット、VPCs、アベイラビリティーゾーンを記述し、それらのサブネット内のフリートインスタンスに関連付けられたすべての Elastic Network Interface のライフサイクルを作成および管理できます。これには、サブネットからそれらの Elastic Network Interface にセキュリティグループと IP アドレスをアタッチする機能も含まれます。
+ UPP や HomeFolders などの機能を使用する場合、WorkSpaces アプリケーションはアカウントで Amazon S3 バケット、オブジェクトとそのライフサイクル、ポリシー、暗号化設定を作成および管理できます。これらのバケットには、次の命名プレフィックスが含まれます。
+ `"arn:aws:s3:::appstream2-36fb080bb8-",`
+ `"arn:aws:s3:::appstream-app-settings-",`
+ `"arn:aws:s3:::appstream-logs-"`
このポリシーのアクセス許可を表示する方法については、「[AmazonAppStreamServiceAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamServiceAccess.html)」を参照してください。
**ApplicationAutoScalingForAmazonAppStreamAccess**
この管理ポリシーは、WorkSpaces アプリケーションのアプリケーションの自動スケーリングを有効にします。
このポリシーのアクセス許可を表示する方法については、「[「ApplicationAutoScalingForAmazonAppStreamAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ApplicationAutoScalingForAmazonAppStreamAccess.html)」を参照してください。
**AWSApplicationAutoscalingAppStreamFleetPolicy**
この管理ポリシーは、Application Auto Scaling が WorkSpaces アプリケーションと CloudWatch にアクセスするためのアクセス許可を付与します。
このポリシーのアクセス許可を表示する方法については、「[AWSApplicationAutoscalingAppStreamFleetPolicy ](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSApplicationAutoscalingAppStreamFleetPolicy.html)」を参照してください。
## AWS マネージドポリシーへの WorkSpaces アプリケーションの更新
このサービスがこれらの変更の追跡を開始してからの WorkSpaces アプリケーションの AWS マネージドポリシーの更新に関する詳細を表示します。このページへの変更に関する自動アラートについては、[Amazon WorkSpaces アプリケーションのドキュメント履歴](doc-history.md) ページの RSS フィードを購読してください。
| 変更 | 説明 | 日付 |
| --- | --- | --- |
| AmazonAppStreamServiceAccess – 変更 | ポリシー JSON ポリシードキュメント`"ec2:DescribeImages"`に の許可アクセス許可を追加 | 2025 年 11 月 17 日 |
| AmazonAppStreamReadOnlyAccess – 変更 | JSON ポリシードキュメントから `"appstream:Get*",` を削除しました | 2025 年 10 月 22 日 |
| WorkSpaces アプリケーションが変更の追跡を開始しました | WorkSpaces アプリケーションが AWS 管理ポリシーの変更の追跡を開始 | 2022 年 10 月 31 日 |
# WorkSpaces アプリケーション、Application Auto Scaling、および AWS Certificate Manager プライベート CA に必要なロール
では AWS、IAM ロールを使用して AWS サービスにアクセス許可を付与し、 AWS リソースにアクセスできるようにします。ロールにアタッチされているポリシーによって、サービスがアクセスできる AWS リソースと、それらのリソースで何ができるかが決まります。WorkSpaces アプリケーションの場合、**AmazonAppStreamFullAccess** ポリシーで定義されたアクセス許可に加えて、 AWS アカウントに次のロールも必要です。
**Topics**
+ [AmazonAppStreamServiceAccess](#AmazonAppStreamServiceAccess)
+ [ApplicationAutoScalingForAmazonAppStreamAccess](#ApplicationAutoScalingForAmazonAppStreamAccess)
+ [AWSServiceRoleForApplicationAutoScaling\$1AppStreamFleet](#AWSServiceRoleForApplicationAutoScaling_AppStreamFleet)
+ [AmazonAppStreamPCAAccess](#AppStreamPCAAccess)
## AmazonAppStreamServiceAccess
このロールは、 AWS リージョンで WorkSpaces アプリケーションの使用を開始すると自動的に作成されるサービスロールです。サービスロールの詳細については、*IAM ユーザーガイド*の[「 AWS サービスにアクセス許可を委任するロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)」を参照してください。
WorkSpaces Applications リソースの作成中に、WorkSpaces Applications サービスは、このロールを引き受けることで、ユーザーに代わって他の AWS のサービスへの API コールを行います。フリートを作成するには、アカウントにこのロールが必要です。このロールが AWS アカウントになく、必要な IAM アクセス許可と信頼関係ポリシーがアタッチされていない場合、WorkSpaces アプリケーションフリートを作成することはできません。
詳細については、「[AmazonAppStreamServiceAccess のサービスロールおよびポリシーを確認する](controlling-access-checking-for-iam-service-access.md)」を参照して、**AmazonAppStreamServiceAccess** サービスロールの有無と、適切なポリシーがアタッチされているかどうかを確認してください。
**注記**
このサービスロールには、WorkSpaces アプリケーションの使用を開始する最初のユーザーとは異なるアクセス許可を持つことができます。このロールのアクセス許可の詳細については、「[AWS WorkSpaces アプリケーションリソースにアクセスするために必要な管理ポリシー](managed-policies-required-to-access-appstream-resources.md)」の「AmazonAppStreamServiceAccess」を参照してください。
## ApplicationAutoScalingForAmazonAppStreamAccess
このロールは、 AWS リージョンで WorkSpaces アプリケーションの使用を開始すると自動的に作成されるサービスロールです。サービスロールの詳細については、*IAM ユーザーガイド*の[「 AWS サービスにアクセス許可を委任するロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)」を参照してください。
自動スケーリングは、WorkSpaces Applications フリートの機能です。スケーリングポリシーを設定するには、 AWS アカウントにこのサービスロールが必要です。このサービスロールが AWS アカウントになく、必要な IAM アクセス許可と信頼関係ポリシーがアタッチされていない場合、WorkSpaces アプリケーションフリートをスケールすることはできません。
詳細については、「[ApplicationAutoScalingForAmazonAppStreamAccess サービスロールとポリシーの確認](controlling-access-checking-for-iam-autoscaling.md)」を参照してください。
## AWSServiceRoleForApplicationAutoScaling\$1AppStreamFleet
このロールは、自動的に作成されるサービスにリンクされたロールです。詳細については、*アプリケーション Auto Scaling ユーザーガイド*の「[サービスにリンクされたロール](https://docs.aws.amazon.com/autoscaling/application/userguide/application-auto-scaling-service-linked-roles.html)」を参照してください。
Application Auto Scaling は、サービスにリンクされたロールを使用して、ユーザーに代わって自動スケーリングを実行します。*サービスにリンクされたロール*は、 AWS サービスに直接リンクされた IAM ロールです。このロールには、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれます。
詳細については、「[`AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` サービスにリンクされたロールとポリシーの確認](controlling-access-checking-for-iam-service-linked-role-application-autoscaling-appstream-fleet.md)」を参照してください。
## AmazonAppStreamPCAAccess
このロールは、 AWS リージョンで WorkSpaces アプリケーションの使用を開始すると自動的に作成されるサービスロールです。サービスロールの詳細については、*IAM ユーザーガイド*の[「 AWS サービスにアクセス許可を委任するロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)」を参照してください。
証明書ベースの認証は、Microsoft Active Directory ドメインに結合された WorkSpaces アプリケーションフリートの機能です。証明書ベースの認証を有効にして使用するには、 AWS アカウントにこのサービスロールが必要です。このサービスロールが AWS アカウントになく、必要な IAM アクセス許可と信頼関係ポリシーがアタッチされていない場合、証明書ベースの認証を有効化または使用することはできません。
詳細については、「[AmazonAppStreamPCAAccess のサービスロールおよびポリシーを確認する](controlling-access-checking-for-AppStreamPCAAccess.md)」を参照してください。
# AmazonAppStreamServiceAccess のサービスロールおよびポリシーを確認する
**AmazonAppStreamServiceAccess** サービスロールの有無と、適切なポリシーがアタッチされているかどうかを確認するには、このセクションのステップを実行します。このロールがアカウントになく、作成する必要がある場合、ユーザーまたは必要なアクセス許可を持つ管理者は、Amazon Web Services アカウントの WorkSpaces アプリケーションの使用を開始するステップを実行する必要があります。
**AmazonAppStreamServiceAccess の IAM サービスロールの有無を確認するには**
1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。
1. ナビゲーションペインで **Roles (ロール) ** を選択してください。
1. 検索ボックスに **amazonappstreamservice** と入力して、選択するロールのリストを絞り込み、[**AmazonAppStreamServiceAccess**] を選択します。表示されたら、このロールを選択して、ロールの [**概要**] ページを表示します。
1. [**アクセス許可**] タブで、**AmazonAppStreamServiceAccess** アクセス許可ポリシーがアタッチされているかどうかを確認します。
1. ロールの [**概要**] ページに戻ります。
1. [**信頼関係**] タブで、[**Show policy document (ポリシードキュメントの表示)**] を選択して、**AmazonAppStreamServiceAccess** 信頼関係ポリシーがアタッチされていて、適切な形式に従っているかどうかを確認します。アタッチされている場合、信頼関係は正しく設定されています。[**Cancel (キャンセル)**] を選択して、IAM コンソールを閉じます。
## AmazonAppStreamServiceAccess 信頼関係ポリシー
**AmazonAppStreamServiceAccess** 信頼関係ポリシーには、WorkSpaces アプリケーションサービスをプリンシパルとして含める必要があります。*プリンシパル*は、 AWS アクションを実行し、リソースにアクセスできる のエンティティです。このポリシーには `sts:AssumeRole` アクションも含める必要があります。次のポリシー設定では、WorkSpaces アプリケーションを信頼されたエンティティとして定義します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "appstream.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# ApplicationAutoScalingForAmazonAppStreamAccess サービスロールとポリシーの確認
**ApplicationAutoScalingForAmazonAppStreamAccess** サービスロールの有無と、適切なポリシーがアタッチされているかどうかを確認するには、このセクションのステップを実行します。このロールがアカウントになく、作成する必要がある場合、ユーザーまたは必要なアクセス許可を持つ管理者は、Amazon Web Services アカウントの WorkSpaces アプリケーションの使用を開始するステップを実行する必要があります。
**ApplicationAutoScalingForAmazonAppStreamAccess IAM サービスロールが存在するかどうかを確認するには**
1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。
1. ナビゲーションペインで **Roles (ロール) ** を選択してください。
1. 検索ボックスに「**applicationautoscaling**」と入力して、選択するロールのリストを絞り込み、**[ApplicationAutoScalingForAmazonAppStreamAccess]** を選択します。表示されたら、このロールを選択して、ロールの [**概要**] ページを表示します。
1. **[アクセス許可]** タブで、**[ApplicationAutoScalingForAmazonAppStreamAccess]** アクセス許可ポリシーがアタッチされているかどうかを確認します。
1. ロールの [**概要**] ページに戻ります。
1. **[信頼関係]** タブで、**[ポリシードキュメントの表示]** を選択して、**[ApplicationAutoScalingForAmazonAppStreamAccess]** 信頼関係ポリシーがアタッチされていて、適切な形式に従っているかどうかを確認します。アタッチされている場合、信頼関係は正しく設定されています。[**Cancel (キャンセル)**] を選択して、IAM コンソールを閉じます。
## ApplicationAutoScalingForAmazonAppStreamAccess 信頼関係ポリシー
**ApplicationAutoScalingForAmazonAppStreamAccess** 信頼関係ポリシーには、Application Auto Scaling サービスをプリンシパルとして含める必要があります。このポリシーには `sts:AssumeRole` アクションも含める必要があります。次のポリシー設定では、Application Auto Scaling を信頼されたエンティティとして定義しています。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "application-autoscaling.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` サービスにリンクされたロールとポリシーの確認
`AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` サービスにリンクされたロールの有無と、適切なポリシーがアタッチされているかどうかを確認するには、このセクションのステップを実行します。このロールがアカウントになく、作成する必要がある場合、ユーザーまたは必要なアクセス許可を持つ管理者は、Amazon Web Services アカウントの WorkSpaces アプリケーションの使用を開始するステップを実行する必要があります。
**`AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` IAM サービスにリンクされたロールが存在するかどうかを確認するには**
1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。
1. ナビゲーションペインで **Roles (ロール) ** を選択してください。
1. 検索ボックスに **applicationautoscaling** と入力して、選択するロールのリストを絞り込み、`AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` を選択します。表示されたら、このロールを選択して、ロールの [**概要**] ページを表示します。
1. **[Permissions]** (アクセス許可) タブで、`AWSApplicationAutoscalingAppStreamFleetPolicy` アクセス許可ポリシーがアタッチされているかどうかを確認します。
1. [**ロール**] の概要ページに戻ります。
1. **[信頼関係]** タブで、**[ポリシードキュメントの表示]** を選択して、`AWSServiceRoleForApplicationAutoScaling_AppStreamFleet`[] 信頼関係ポリシーがアタッチされていて、適切な形式に従っているかどうかを確認します。アタッチされている場合、信頼関係は正しく設定されています。[**Cancel (キャンセル)**] を選択して、IAM コンソールを閉じます。
## AWSServiceRoleForApplicationAutoScaling\$1AppStreamFleet 信頼関係ポリシー
`AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` 信頼関係ポリシーには、プリンシパルとして **appstream.application-autoscaling.amazonaws.com** を含める必要があります。このポリシーには `sts:AssumeRole` アクションも含める必要があります。次のポリシー設定では、**appstream.application-autoscaling.amazonaws.com** を信頼されたエンティティとして定義しています。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "appstream.application-autoscaling.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# AmazonAppStreamPCAAccess のサービスロールおよびポリシーを確認する
**AmazonAppStreamPCAAccess** サービスロールの有無と、適切なポリシーがアタッチされているかどうかを確認するには、このセクションのステップを実行します。このロールがアカウントになく、作成する必要がある場合、ユーザーまたは必要なアクセス許可を持つ管理者は、Amazon Web Services アカウントの WorkSpaces アプリケーションの使用を開始するステップを実行する必要があります。
**AmazonAppStreamPCAAccess の IAM サービスロールの有無を確認するには**
1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。
1. ナビゲーションペインで **Roles (ロール) ** を選択してください。
1. 検索ボックスに「**appstreampca**」と入力して、選択するロールのリストを絞り込み、[**AmazonAppStreamPCAAccess**] を選択します。表示されたら、このロールを選択して、ロールの [**概要**] ページを表示します。
1. [**アクセス許可**] タブで、**AmazonAppStreamPCAAccess** アクセス権限ポリシーがアタッチされているかどうかを確認します。
1. [**ロール**] の概要ページに戻ります。
1. [**信頼関係**] タブで、[**Show policy document**] (ポリシードキュメントの表示) を選択して、**AmazonAppStreamPCAAccess** 信頼関係ポリシーがアタッチされていて、適切な形式に従っているかどうかを確認します。アタッチされている場合、信頼関係は正しく設定されています。[**Cancel (キャンセル)**] を選択して、IAM コンソールを閉じます。
## AmazonAppStreamPCAAccess 信頼関係ポリシー
**AmazonAppStreamPCAAccess** 信頼関係ポリシーには、prod.euc.ecm.amazonaws.com をプリンシパルとして含める必要があります。このポリシーには `sts:AssumeRole` アクションも含める必要があります。次のポリシー設定は、ECM を信頼されたエンティティとして定義します。
**CLI を使用して AmazonAppStreamPCAAccess AWS 信頼関係ポリシーを作成するには**
1. `AmazonAppStreamPCAAccess.json` という名前の JSON ファイルを次の内容で作成します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"prod.euc.ecm.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {}
}
]
}
```
------
1. 必要に応じて`AmazonAppStreamPCAAccess.json`パスを調整し、次の AWS CLI コマンドを実行して信頼関係ポリシーを作成し、AmazonAppStreamPCAAccess 管理ポリシーをアタッチします。管理ポリシーの詳細については、「[AWS WorkSpaces アプリケーションリソースにアクセスするために必要な管理ポリシー](managed-policies-required-to-access-appstream-resources.md)」を参照してください。
```
aws iam create-role --path /service-role/ --role-name AmazonAppStreamPCAAccess --assume-role-policy-document file://AmazonAppStreamPCAAccess.json
```
```
aws iam attach-role-policy —role-name AmazonAppStreamPCAAccess —policy-arn arn:aws:iam::aws:policy/AmazonAppStreamPCAAccess
```