As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Usando políticas AWS gerenciadas e funções vinculadas para gerenciar o acesso do administrador aos recursos de WorkSpaces aplicativos
Por padrão, os usuários do IAM não têm as permissões necessárias para criar ou modificar recursos de WorkSpaces aplicativos ou realizar tarefas usando a API de WorkSpaces aplicativos. Isso significa que esses usuários não podem realizar essas ações no console de WorkSpaces aplicativos ou usando os comandos da AWS CLI dos WorkSpaces aplicativos. Para permitir que os usuários do IAM criem ou modifiquem recursos e executem tarefas, anexe uma política do IAM aos usuários ou grupos do IAM que exigem essas permissões.
Quando você anexa uma política a um usuário, um grupo de usuários ou um perfil do IAM, ela concede ou nega aos usuários permissão para realizar as tarefas especificadas nos recursos especificados.
**Topics**
+ [AWS Políticas gerenciadas necessárias para acessar os recursos de WorkSpaces aplicativos](managed-policies-required-to-access-appstream-resources.md)
+ [Funções necessárias para WorkSpaces Applications, Application Auto Scaling e AWS Certificate Manager Private CA](roles-required-for-appstream.md)
+ [Verificando a função e as políticas do AmazonAppStreamServiceAccess serviço](controlling-access-checking-for-iam-service-access.md)
+ [Verificar a presença do perfil de serviço ApplicationAutoScalingForAmazonAppStreamAccess e das políticas](controlling-access-checking-for-iam-autoscaling.md)
+ [Verificar a presença do perfil vinculado ao serviço `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` e das políticas](controlling-access-checking-for-iam-service-linked-role-application-autoscaling-appstream-fleet.md)
+ [Verificando a função e as políticas do AmazonAppStream PCAAccess serviço](controlling-access-checking-for-AppStreamPCAAccess.md)
# AWS Políticas gerenciadas necessárias para acessar os recursos de WorkSpaces aplicativos
Para fornecer acesso administrativo completo ou somente para leitura aos WorkSpaces aplicativos, você deve anexar uma das seguintes políticas AWS gerenciadas aos usuários ou grupos do IAM que exigem essas permissões. Uma *política gerenciada pela AWS * é uma política independente que é criada e administrada pela AWS. Para obter mais informações, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.
**nota**
Em AWS, os papéis do IAM são usados para conceder permissões a um AWS serviço para que ele possa acessar AWS recursos. As políticas anexadas à função determinam quais AWS recursos o serviço pode acessar e o que ele pode fazer com esses recursos. Para WorkSpaces aplicativos, além de ter as permissões definidas na **AmazonAppStreamFullAccess**política, você também deve ter as funções necessárias em sua AWS conta. Para obter mais informações, consulte [Funções necessárias para WorkSpaces Applications, Application Auto Scaling e AWS Certificate Manager Private CA](roles-required-for-appstream.md).
**AmazonAppStreamFullAccess**
Essa política gerenciada fornece acesso administrativo total aos recursos dos WorkSpaces aplicativos. Para gerenciar recursos de WorkSpaces aplicativos e realizar ações de API por meio da interface de linha de AWS comando (AWS CLI), AWS SDK ou console AWS de gerenciamento, você deve ter as permissões definidas nesta política.
Se você entrar no console de WorkSpaces aplicativos como usuário do IAM, deverá anexar essa política ao seu Conta da AWS. Se fizer login por meio da federação do console, você deverá anexar essa política ao perfil do IAM que foi usado para federação.
Para ver as permissões dessa política, consulte [AmazonAppStreamFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamFullAccess.html).
**AmazonAppStreamReadOnlyAccess**
Essa política baseada em identidade concede aos usuários permissões somente de leitura para visualizar e monitorar recursos de WorkSpaces aplicativos e configurações de serviços relacionados. Os usuários podem acessar o console de WorkSpaces aplicativos para visualizar aplicativos de streaming, status da frota, relatórios de uso e recursos associados, mas não podem fazer nenhuma alteração. A política também inclui as permissões de leitura necessárias para oferecer suporte a serviços como IAM, Application Auto Scaling e CloudWatch para permitir recursos abrangentes de monitoramento e geração de relatórios.
Para ver as permissões dessa política, consulte [AmazonAppStreamReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamReadOnlyAccess.html).
O console de WorkSpaces aplicativos usa uma ação adicional que fornece funcionalidade que não está disponível por meio da AWS CLI ou AWS do SDK. As **AmazonAppStreamReadOnlyAccess**políticas **AmazonAppStreamFullAccess**e fornecem permissões para a ação a seguir.
| Ação | Description | Nível de acesso |
| --- | --- | --- |
| DescribeImageBuilders | Concede permissão para recuperar uma lista que descreve um ou mais image builders especificados, se os nomes de image builders são fornecidos. Caso contrário, todos os construtores de imagens na conta são descritos. | Ler |
**AmazonAppStreamPCAAccess**
Essa política gerenciada fornece acesso administrativo total aos recursos de CA privada do AWS Certificate Manager em sua AWS conta para autenticação baseada em certificados.
Para ver as permissões dessa política, consulte [AmazonAppStreamPCAAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamPCAAccess.html).
**AmazonAppStreamServiceAccess**
Essa política gerenciada é a política padrão para a função de serviço de WorkSpaces Aplicativos.
Essa política de permissões de função permite que os WorkSpaces aplicativos concluam as seguintes ações:
+ Ao usar sub-redes em sua conta para suas frotas de WorkSpaces WorkSpaces aplicativos, o Applications é capaz de descrever sub-redes e zonas de disponibilidade VPCs, bem como criar e gerenciar o ciclo de vida de todas as interfaces de rede elástica associadas às instâncias da frota nessas sub-redes. Isso também inclui a capacidade de anexar grupos de segurança e endereços IP dessas sub-redes a essas interfaces de rede elástica.
+ Ao usar recursos como UPP e HomeFolders, o WorkSpaces Applications é capaz de criar e gerenciar buckets, objetos do Amazon S3 e seus ciclos de vida, políticas e configuração de criptografia na conta. Esses buckets incluem os seguintes prefixos de nomenclatura:
+ `"arn:aws:s3:::appstream2-36fb080bb8-",`
+ `"arn:aws:s3:::appstream-app-settings-",`
+ `"arn:aws:s3:::appstream-logs-"`
Para ver as permissões dessa política, consulte [AmazonAppStreamServiceAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamServiceAccess.html).
**ApplicationAutoScalingForAmazonAppStreamAccess**
Essa política gerenciada permite o escalonamento automático de WorkSpaces aplicativos.
Para ver as permissões dessa política, consulte [ApplicationAutoScalingForAmazonAppStreamAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ApplicationAutoScalingForAmazonAppStreamAccess.html).
**AWSApplicationAutoscalingAppStreamFleetPolicy**
Essa política gerenciada concede permissões para que o Application Auto Scaling acesse WorkSpaces aplicativos e. CloudWatch
Para ver as permissões dessa política, consulte [AWSApplicationAutoscalingAppStreamFleetPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSApplicationAutoscalingAppStreamFleetPolicy.html).
## WorkSpaces Atualizações de aplicativos para políticas AWS gerenciadas
Veja detalhes sobre as atualizações das políticas AWS gerenciadas para WorkSpaces aplicativos desde que esse serviço começou a rastrear essas alterações. Para obter alertas automáticos sobre alterações feitas nesta página, inscreva-se no feed RSS na página [Histórico de documentos para WorkSpaces aplicativos da Amazon](doc-history.md).
| Alteração | Descrição | Data |
| --- | --- | --- |
| AmazonAppStreamServiceAccess — Mudança | Foram adicionadas permissões de permissão `"ec2:DescribeImages"` para o documento de política JSON | 17 de novembro de 2025 |
| AmazonAppStreamReadOnlyAccess — Mudança | Removido `"appstream:Get*",` do documento da política JSON | 22 de outubro de 2025 |
| WorkSpaces Os aplicativos começaram a rastrear as alterações | WorkSpaces Os aplicativos começaram a rastrear as mudanças em suas políticas AWS gerenciadas | 31 de outubro de 2022 |
# Funções necessárias para WorkSpaces Applications, Application Auto Scaling e AWS Certificate Manager Private CA
Em AWS, os papéis do IAM são usados para conceder permissões a um AWS serviço para que ele possa acessar AWS recursos. As políticas anexadas à função determinam quais AWS recursos o serviço pode acessar e o que ele pode fazer com esses recursos. Para WorkSpaces aplicativos, além de ter as permissões definidas na **AmazonAppStreamFullAccess**política, você também deve ter as seguintes funções em sua AWS conta.
**Topics**
+ [AmazonAppStreamServiceAccess](#AmazonAppStreamServiceAccess)
+ [ApplicationAutoScalingForAmazonAppStreamAccess](#ApplicationAutoScalingForAmazonAppStreamAccess)
+ [AWSServiceRoleForApplicationAutoScaling\$1AppStreamFleet](#AWSServiceRoleForApplicationAutoScaling_AppStreamFleet)
+ [AmazonAppStreamPCAAccess](#AppStreamPCAAccess)
## AmazonAppStreamServiceAccess
Essa função é uma função de serviço criada automaticamente para você quando você começa a usar WorkSpaces aplicativos em uma AWS região. Para obter mais informações sobre funções de serviços, consulte [Criação de uma função para delegar permissões a um AWS serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) no *Guia do usuário do IAM*.
Enquanto os recursos de WorkSpaces aplicativos estão sendo criados, o serviço de WorkSpaces aplicativos faz chamadas de API para outros AWS serviços em seu nome, assumindo essa função. Para criar frotas, é necessário ter esse perfil na conta. Se essa função não estiver em sua AWS conta e as permissões necessárias do IAM e as políticas de relacionamento de confiança não estiverem anexadas, você não poderá criar frotas de WorkSpaces aplicativos.
Para obter mais informações, consulte [Verificando a função e as políticas do AmazonAppStreamServiceAccess serviço](controlling-access-checking-for-iam-service-access.md) para verificar se a função **AmazonAppStreamServiceAccess**de serviço está presente e tem as políticas corretas anexadas.
**nota**
Essa função de serviço pode ter permissões diferentes das do primeiro usuário que está começando a usar os WorkSpaces aplicativos. Para obter detalhes sobre as permissões dessa função, consulte “AmazonAppStreamServiceAccess” em[AWS Políticas gerenciadas necessárias para acessar os recursos de WorkSpaces aplicativos](managed-policies-required-to-access-appstream-resources.md).
## ApplicationAutoScalingForAmazonAppStreamAccess
Essa função é uma função de serviço criada automaticamente para você quando você começa a usar WorkSpaces aplicativos em uma AWS região. Para obter mais informações sobre funções de serviços, consulte [Criação de uma função para delegar permissões a um AWS serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) no *Guia do usuário do IAM*.
O escalonamento automático é um recurso das frotas de WorkSpaces aplicativos. Para configurar políticas de escalabilidade, você deve ter essa função de serviço em sua AWS conta. Se essa função de serviço não estiver em sua AWS conta e as permissões necessárias do IAM e as políticas de relacionamento de confiança não estiverem anexadas, você não poderá escalar frotas de WorkSpaces aplicativos.
Para obter mais informações, consulte [Verificar a presença do perfil de serviço ApplicationAutoScalingForAmazonAppStreamAccess e das políticas](controlling-access-checking-for-iam-autoscaling.md).
## AWSServiceRoleForApplicationAutoScaling\$1AppStreamFleet
Esse perfil é um perfil vinculado ao serviço que é criado automaticamente para você. Para obter mais informações, consulte [Funções vinculadas ao serviço](https://docs.aws.amazon.com/autoscaling/application/userguide/application-auto-scaling-service-linked-roles.html) no *Guia do usuário do Application Auto Scaling*.
O Application Auto Scaling usa um perfil vinculado ao serviço para executar o ajuste de escala automático em seu nome. Uma *função vinculada ao serviço* é uma função do IAM vinculada diretamente a um AWS serviço. Essa função inclui todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.
Para obter mais informações, consulte [Verificar a presença do perfil vinculado ao serviço `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` e das políticas](controlling-access-checking-for-iam-service-linked-role-application-autoscaling-appstream-fleet.md).
## AmazonAppStreamPCAAccess
Essa função é uma função de serviço criada automaticamente para você quando você começa a usar WorkSpaces aplicativos em uma AWS região. Para obter mais informações sobre funções de serviços, consulte [Criação de uma função para delegar permissões a um AWS serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) no *Guia do usuário do IAM*.
A autenticação baseada em certificado é um recurso das frotas de WorkSpaces aplicativos unidas aos domínios do Microsoft Active Directory. Para habilitar e usar a autenticação baseada em certificado, você deve ter essa função de serviço em sua conta. AWS Se essa função de serviço não estiver em sua AWS conta e as permissões necessárias do IAM e as políticas de relacionamento de confiança não estiverem anexadas, você não poderá ativar ou usar a autenticação baseada em certificado.
Para obter mais informações, consulte [Verificando a função e as políticas do AmazonAppStream PCAAccess serviço](controlling-access-checking-for-AppStreamPCAAccess.md).
# Verificando a função e as políticas do AmazonAppStreamServiceAccess serviço
Conclua as etapas desta seção para verificar se o perfil de serviço **AmazonAppStreamServiceAccess** está presente e se tem as políticas corretas anexadas. Se essa função não estiver em sua conta e precisar ser criada, você ou um administrador com as permissões necessárias deverá executar as etapas para começar a usar os WorkSpaces aplicativos em sua conta da Amazon Web Services.
**Para verificar se a função de serviço AmazonAppStreamServiceAccess do IAM está presente**
1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação, escolha **Perfis**.
1. Na caixa de pesquisa, digite **amazonappstreamservice** para restringir a lista de funções a serem selecionadas e, em seguida, escolha. **AmazonAppStreamServiceAccess** Se essa função estiver listada, selecione-a para visualizar a página **Summary (Resumo)** da função.
1. Na guia **Permissões**, confirme se a política de permissões **AmazonAppStreamServiceAccess** está anexada.
1. Retorne à página **Summary (Resumo)** da função.
1. Na guia **Relações de confiança**, selecione **Exibir documento de política** e confirme se a política de relação de confiança **AmazonAppStreamServiceAccess** está anexada e segue o formato correto. Se esse for o caso, a relação de confiança estará configurada corretamente. Selecione **Cancelar** e feche o console do IAM.
## AmazonAppStreamServiceAccess política de relacionamento de confiança
A política de relacionamento de **AmazonAppStreamServiceAccess**confiança deve incluir o serviço de WorkSpaces aplicativos como principal. Um *diretor* é uma entidade AWS que pode realizar ações e acessar recursos. Essa política também deve incluir a ação `sts:AssumeRole`. A configuração de política a seguir define WorkSpaces os aplicativos como uma entidade confiável.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "appstream.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# Verificar a presença do perfil de serviço ApplicationAutoScalingForAmazonAppStreamAccess e das políticas
Conclua as etapas desta seção para verificar se o perfil de serviço **ApplicationAutoScalingForAmazonAppStreamAccess** está presente e se tem as políticas corretas anexadas. Se essa função não estiver em sua conta e precisar ser criada, você ou um administrador com as permissões necessárias deverá executar as etapas para começar a usar os WorkSpaces aplicativos em sua conta da Amazon Web Services.
**Como verificar se o perfil de serviço do IAM ApplicationAutoScalingForAmazonAppStreamAccessestá presente**
1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação, escolha **Perfis**.
1. Na caixa de pesquisa, digite **applicationautoscaling** para restringir a lista de perfis, depois selecione **ApplicationAutoScalingForAmazonAppStreamAccess**. Se essa função estiver listada, selecione-a para visualizar a página **Summary (Resumo)** da função.
1. Na guia **Permissões**, confirme se a política de permissões **ApplicationAutoScalingForAmazonAppStreamAccess** está anexada.
1. Retorne à página **Summary (Resumo)** da função.
1. Na guia **Relações de confiança**, selecione **Exibir documento de política** e confirme se a política de relação de confiança **ApplicationAutoScalingForAmazonAppStreamAccess** está anexada e segue o formato correto. Se esse for o caso, a relação de confiança estará configurada corretamente. Selecione **Cancelar** e feche o console do IAM.
## Política de relação de confiança ApplicationAutoScalingForAmazonAppStreamAccess
A política de relação de confiança **ApplicationAutoScalingForAmazonAppStreamAccess** deve incluir o serviço Application Auto Scaling como entidade principal. Essa política também deve incluir a ação `sts:AssumeRole`. A configuração de política a seguir define o Application Auto Scaling como entidade confiável.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "application-autoscaling.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# Verificar a presença do perfil vinculado ao serviço `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` e das políticas
Conclua as etapas desta seção para verificar se o perfil vinculado ao serviço `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` está presente e se tem as políticas corretas anexadas. Se essa função não estiver em sua conta e precisar ser criada, você ou um administrador com as permissões necessárias deverá executar as etapas para começar a usar os WorkSpaces aplicativos em sua conta da Amazon Web Services.
**Como verificar se o perfil vinculado ao serviço `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` do IAM está presente**
1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação, escolha **Perfis**.
1. Na caixa de pesquisa, digite **applicationautoscaling** para restringir a lista de perfis, depois selecione `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet`. Se essa função estiver listada, selecione-a para visualizar a página **Summary (Resumo)** da função.
1. Na guia **Permissões**, confirme se a política de permissões `AWSApplicationAutoscalingAppStreamFleetPolicy` está anexada.
1. Retorne à página de resumo **Role (Função)**.
1. Na guia **Relações de confiança**, selecione **Exibir documento de política** e confirme se a política de relação de confiança `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` está anexada e segue o formato correto. Se esse for o caso, a relação de confiança estará configurada corretamente. Selecione **Cancelar** e feche o console do IAM.
## AWSServiceRoleForApplicationAutoScaling\$1AppStreamFleet política de relacionamento de confiança
A política de relação de confiança `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` deve incluir **appstream.application-autoscaling.amazonaws.com** como entidade principal. Essa política também deve incluir a ação `sts:AssumeRole`. A configuração de política a seguir define **appstream.application-autoscaling.amazonaws.com** como uma entidade confiável.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "appstream.application-autoscaling.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# Verificando a função e as políticas do AmazonAppStream PCAAccess serviço
Conclua as etapas desta seção para verificar se o perfil de serviço **AmazonAppStreamPCAAccess** está presente e se tem as políticas corretas anexadas. Se essa função não estiver em sua conta e precisar ser criada, você ou um administrador com as permissões necessárias deverá executar as etapas para começar a usar os WorkSpaces aplicativos em sua conta da Amazon Web Services.
**Para verificar se a função de serviço AmazonAppStream PCAAccess do IAM está presente**
1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação, escolha **Perfis**.
1. Na caixa de pesquisa, digite **appstreampca** para restringir a lista de funções a serem selecionadas e, em seguida, escolha. **AmazonAppStreamPCAAccess** Se essa função estiver listada, selecione-a para visualizar a página **Summary (Resumo)** da função.
1. Na guia **Permissões**, confirme se a política de permissões **AmazonAppStreamPCAAccess ** está anexada.
1. Retorne à página de resumo **Role (Função)**.
1. Na guia **Relações de confiança**, selecione **Exibir documento de política** e confirme se a política de relação de confiança **AmazonAppStreamPCAAccess ** está anexada e segue o formato correto. Se esse for o caso, a relação de confiança estará configurada corretamente. Selecione **Cancelar** e feche o console do IAM.
## AmazonAppStreamPCAAccess política de relacionamento de confiança
A política de relacionamento de **AmazonAppStreamPCAAccess**confiança deve incluir prod.euc.ecm.amazonaws.com como principal. Essa política também deve incluir a ação `sts:AssumeRole`. A configuração de política a seguir define o ECM como entidade confiável.
**Para criar a política de relacionamento de AmazonAppStream PCAAccess confiança usando a AWS CLI**
1. Crie um arquivo JSON denominado `AmazonAppStreamPCAAccess.json` com o texto a seguir.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"prod.euc.ecm.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {}
}
]
}
```
------
1. Ajuste o `AmazonAppStreamPCAAccess.json` caminho conforme necessário e execute os seguintes comandos da AWS CLI para criar a política de relacionamento de confiança e anexar a política AmazonAppStream PCAAccess gerenciada. Para saber mais sobre a política gerenciada , consulte [AWS Políticas gerenciadas necessárias para acessar os recursos de WorkSpaces aplicativos](managed-policies-required-to-access-appstream-resources.md).
```
aws iam create-role --path /service-role/ --role-name AmazonAppStreamPCAAccess --assume-role-policy-document file://AmazonAppStreamPCAAccess.json
```
```
aws iam attach-role-policy —role-name AmazonAppStreamPCAAccess —policy-arn arn:aws:iam::aws:policy/AmazonAppStreamPCAAccess
```