本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 配置现有 IAM 角色以用于 WorkSpaces 应用程序流式处理实例 本主题介绍如何配置现有 IAM 角色,以便您可以将其与映像生成器和实例集流实例一起使用。 **先决条件** 您要与 WorkSpaces 应用程序映像生成器或队列流式传输实例一起使用的 IAM 角色必须满足以下先决条件: + IAM 角色必须与 WorkSpaces 应用程序流媒体实例位于同一个 Amazon Web Services 账户中。 + IAM 角色不能是服务角色。 + 附加到 IAM 角色的信任关系策略必须包括 WorkSpaces 应用程序服务作为委托人。*委托*人是 AWS 可以执行操作和访问资源的实体。该策略还必须包括 `sts:AssumeRole` 操作。此策略配置将 WorkSpaces 应用程序定义为可信实体。 + 如果您将 IAM 角色应用于映像生成器,则映像生成器必须运行 2019 年 9 月 3 日当天或之后发布的 WorkSpaces 应用程序代理版本。如果要将 IAM 角色应用于一个实例集,则该实例集必须使用一个映像,该映像使用在同一日期或之后发布的代理版本。有关更多信息,请参阅 [WorkSpaces 应用程序代理发行说明](agent-software-versions.md)。 **使 WorkSpaces 应用程序服务委托人能够代入现有 IAM 角色** 要执行以下步骤,您必须以具有列出和更新 IAM 角色所需权限的 IAM 用户身份登录账户。如果您没有所需的权限,则要求您的 Amazon Web Services 账户管理员在您的账户中执行这些步骤或授予您所需权限。 1. 使用 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 打开 IAM 控制台。 1. 在导航窗格中,选择**角色**。 1. 在您的账户的角色列表中,选择要修改的角色的名称。 1. 选择 **信任关系** 选项卡,然后选择 **编辑信任关系**。 1. 在**策略文档**下,验证信任关系策略是否包含 `appstream.amazonaws.com` 服务主体的 `sts:AssumeRole` 操作: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "appstream.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] } ``` ------ 1. 在编辑完信任策略后,请选择**更新信任策略**以保存所做更改。 1. 您选择的 IAM 角色将显示在 WorkSpaces 应用程序控制台中。此角色授予对应用程序和脚本的权限,以便在流实例上执行 API 操作和管理任务。