本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS 访问 WorkSpaces 应用程序资源所需的托管策略
<a name="managed-policies-required-to-access-appstream-resources"></a>

要提供对 WorkSpaces 应用程序的完全管理或只读访问权限，您必须将以下 AWS 托管策略之一附加到需要这些权限的 IAM 用户或群组。*AWS 托管策略* 是由 AWS创建和管理的独立策略。有关更多信息，请参阅《IAM 用户指南》**中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。

**注意**  
在中 AWS，IAM 角色用于向 AWS 服务授予权限，使其能够访问 AWS 资源。附加到角色的策略决定了服务可以访问哪些 AWS 资源以及它可以用这些资源做什么。对于 WorkSpaces 应用程序，除了拥有**AmazonAppStreamFullAccess**策略中定义的权限外，您的 AWS 账户中还必须拥有所需的角色。有关更多信息，请参阅 [WorkSpaces 应用程序、Application Auto Scaling 和 Certificate M AWS anager 私有 CA 所需的角色](roles-required-for-appstream.md)。

**AmazonAppStreamFullAccess**  
此托管策略提供对 WorkSpaces 应用程序资源的完全管理访问权限。要通过 AWS 命令行界面 (AWS CLI)、 AWS SDK 或 AWS 管理控制台管理 WorkSpaces 应用程序资源和执行 API 操作，您必须拥有此策略中定义的权限。  
如果您以 IAM 用户身份登录 WorkSpaces 应用程序控制台，则必须将此策略附加到您的 AWS 账户。如果通过控制台联合身份验证登录，则必须将此策略附加到用于联合身份验证的 IAM 角色。  
要查看此策略的权限，请参阅[AmazonAppStreamFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamFullAccess.html)。

**AmazonAppStreamReadOnlyAccess**  
此基于身份的策略向用户授予查看和监控 WorkSpaces 应用程序资源及相关服务配置的只读权限。用户可以访问 WorkSpaces 应用程序控制台来查看流媒体应用程序、队列状态、使用情况报告和相关资源，但不能进行任何更改。该策略还包括支持 IAM、Application Auto Scaling 等服务以及 CloudWatch 启用全面监控和报告功能所需的读取权限。  
要查看此策略的权限，请参阅[AmazonAppStreamReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamReadOnlyAccess.html)。

 WorkSpaces 应用程序控制台使用另一项操作来提供无法通过 AWS CLI 或 AWS SDK 提供的功能。**AmazonAppStreamFullAccess**和**AmazonAppStreamReadOnlyAccess**策略均为以下操作提供权限。


| Action | 说明 | 访问级别 | 
| --- | --- | --- | 
| DescribeImageBuilders | 授予权限以检索描述一个或多个指定映像生成器的列表（如果提供了映像生成器名称）。否则，将描述账户中的所有映像生成器。 | 读取 | 

**AmazonAppStreamPCAAccess**  
此托管策略提供对 AWS AWS 账户中 Certifice Manager 私有 CA 资源的完全管理权限，以进行基于证书的身份验证。  
要查看此策略的权限，请参阅[AmazonAppStreamPCAAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamPCAAccess.html)。

**AmazonAppStreamServiceAccess**  
此托管策略是 WorkSpaces 应用程序服务角色的默认策略。  
此角色权限策略允许 WorkSpaces 应用程序完成以下操作：  
+ 在您的账户中为 WorkSpaces 应用程序队列使用子网时， WorkSpaces 应用程序能够描述子网 VPCs、和可用区，并创建和管理与这些子网中的队列实例关联的所有弹性网络接口的生命周期。这其中还包括将这些子网中的安全组和 IP 地址连接到这些弹性网络接口的功能。
+ 使用 UPP 和等功能时 HomeFolders， WorkSpaces 应用程序能够在账户中创建和管理 Amazon S3 存储桶、对象及其生命周期、策略和加密配置。这些存储桶包含以下命名前缀：
  + `"arn:aws:s3:::appstream2-36fb080bb8-",`
  + `"arn:aws:s3:::appstream-app-settings-",`
  + `"arn:aws:s3:::appstream-logs-"`
要查看此策略的权限，请参阅[AmazonAppStreamServiceAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamServiceAccess.html)。

**ApplicationAutoScalingForAmazonAppStreamAccess**  
此托管策略允许应用程序自动缩放。 WorkSpaces   
要查看此策略的权限，请参阅[ApplicationAutoScalingForAmazonAppStreamAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ApplicationAutoScalingForAmazonAppStreamAccess.html)。

**AWSApplicationAutoscalingAppStreamFleetPolicy**  
此托管策略授予应用程序 Auto Scaling 访问 WorkSpaces 应用程序和的权限 CloudWatch 。  
要查看此策略的权限，请参阅[AWSApplicationAutoscalingAppStreamFleetPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSApplicationAutoscalingAppStreamFleetPolicy.html)。

## WorkSpaces AWS 托管策略的应用程序更新
<a name="security-iam-awsmanpol-updates"></a>



查看自该服务开始跟踪 WorkSpaces 应用程序 AWS 托管策略变更以来这些更新的详细信息。要获得有关此页面更改的自动提示，请订阅 [Amazon WorkSpaces 应用程序的文档历史记录](doc-history.md) 页面上的 RSS 源。




| 更改 | 描述 | 日期 | 
| --- | --- | --- | 
|  AmazonAppStreamServiceAccess — 改变  |   为`"ec2:DescribeImages"`策略 JSON 策略文档添加了允许权限  | 2025 年 11 月 17 日 | 
|  AmazonAppStreamReadOnlyAccess — 改变  |   已从 JSON 策略文档中移除 `"appstream:Get*",`  | 2025 年 10 月 22 日 | 
|  WorkSpaces 应用程序开始跟踪更改  |  WorkSpaces 应用程序开始跟踪其 AWS 托管策略的更改  | 2022 年 10 月 31 日 |