本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 設定現有的 IAM 角色以搭配 WorkSpaces 應用程式串流執行個體使用 本主題說明如何設定現有的 IAM 角色,以便您可以將其與映像建置器和機群串流執行個體搭配使用。 **先決條件** 您想要與 WorkSpaces 應用程式映像建置器或機群串流執行個體搭配使用的 IAM 角色必須符合下列先決條件: + IAM 角色必須與 WorkSpaces 應用程式串流執行個體位於相同的 Amazon Web Services 帳戶中。 + IAM 角色不能是服務角色。 + 連接至 IAM 角色的信任關係政策必須包含 WorkSpaces 應用程式服務做為委託人。*委託*人是 中的實體 AWS ,可執行動作和存取資源。政策也必須包含 `sts:AssumeRole` 動作。此政策組態將 WorkSpaces 應用程式定義為信任的實體。 + 如果您要將 IAM 角色套用至映像建置器,映像建置器必須執行 2019 年 9 月 3 日當天或之後發行的 WorkSpaces 應用程式代理程式版本。如果您要將 IAM 角色套用至機群,機群必須使用使用相同日期當天或之後發行之代理程式版本的映像。如需詳細資訊,請參閱[WorkSpaces 應用程式代理程式版本備註](agent-software-versions.md)。 **讓 WorkSpaces 應用程式服務主體擔任現有的 IAM 角色** 若要執行以下步驟,您必須以有權列出和更新 IAM 角色的 IAM 使用者身分登入帳戶。如果您沒有所需許可,可請 Amazon Web Services 帳戶管理員在您的帳戶中執行這些步驟,或授予您必要的許可。 1. 在以下網址開啟 IAM 主控台:[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。 1. 在導覽窗格中,選擇**角色**。 1. 在您帳戶的角色清單中,選擇您想要修改的角色名稱。 1. 選擇 **Trust Relationships (信任關係)** 標籤,然後選擇 **Edit Trust Relationship (編輯信任關係)**。 1. 在 **Policy Document (政策文件)** 下,確認信任關係政策包含適用於 `appstream.amazonaws.com` 服務委託人的 `sts:AssumeRole` 動作: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "appstream.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] } ``` ------ 1. 當您完成編輯您的信任政策,請選擇 **Update Trust Policy (更新信任政策)** 來儲存您的變更。 1. 您選取的 IAM 角色會顯示在 WorkSpaces 應用程式主控台中。此角色會將許可授予應用程式和指令碼,來在串流執行個體上執行 API 動作和管理任務。