本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 AWS 受管政策和連結角色來管理管理員對 WorkSpaces 應用程式資源的存取
根據預設,IAM 使用者沒有建立或修改 WorkSpaces 應用程式資源,或使用 WorkSpaces 應用程式 API 執行任務所需的許可。這表示這些使用者無法在 WorkSpaces 應用程式主控台或使用 WorkSpaces 應用程式 AWS CLI 命令來執行這些動作。如果要讓 IAM 使用者建立或修改資源以及執行任務,請為需要這些許可的 IAM 使用者或群組連接 IAM 政策。
將政策連接到使用者、使用者群組或 IAM 角色時,政策會允許或拒絕使用者在特定資源上執行特定任務的許可。
**Topics**
+ [AWS 存取 WorkSpaces 應用程式資源所需的受管政策](managed-policies-required-to-access-appstream-resources.md)
+ [WorkSpaces 應用程式、Application Auto Scaling 和 AWS Certificate Manager Private CA 所需的角色](roles-required-for-appstream.md)
+ [檢查 AmazonAppStreamServiceAccess 服務角色和政策](controlling-access-checking-for-iam-service-access.md)
+ [檢查 ApplicationAutoScalingForAmazonAppStreamAccess 服務角色和政策](controlling-access-checking-for-iam-autoscaling.md)
+ [檢查 `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` 服務連結角色和政策](controlling-access-checking-for-iam-service-linked-role-application-autoscaling-appstream-fleet.md)
+ [檢查 AmazonAppStreamPCAAccess 服務角色和政策](controlling-access-checking-for-AppStreamPCAAccess.md)
# AWS 存取 WorkSpaces 應用程式資源所需的受管政策
若要提供 WorkSpaces 應用程式的完整管理或唯讀存取權,您必須將下列其中一個 AWS 受管政策連接至需要這些許可的 IAM 使用者或群組。「AWS 受管政策」**為獨立的政策,由 AWS建立並管理。如需詳細資訊,請參閱《*IAM 使用者指南*》中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
**注意**
在 中 AWS,IAM 角色用於授予 AWS 服務的許可,使其可以存取 AWS 資源。連接到角色的政策會決定服務可存取哪些 AWS 資源,以及該服務可以如何處理這些資源。對於 WorkSpaces 應用程式,除了擁有 **AmazonAppStreamFullAccess** 政策中定義的許可外,您還必須在 AWS 帳戶中擁有所需的角色。如需詳細資訊,請參閱[WorkSpaces 應用程式、Application Auto Scaling 和 AWS Certificate Manager Private CA 所需的角色](roles-required-for-appstream.md)。
**AmazonAppStreamFullAccess**
此受管政策提供 WorkSpaces 應用程式資源的完整管理存取權。若要透過 AWS 命令列界面 (AWS CLI)、 AWS SDK 或 AWS 管理主控台管理 WorkSpaces 應用程式資源並執行 API 動作,您必須擁有此政策中定義的許可。
如果您以 IAM 使用者身分登入 WorkSpaces 應用程式主控台,您必須將此政策連接至您的 AWS 帳戶。如果您是透過主控台聯合登入,則必須將此政策連接至用於聯合的 IAM 角色。
若要檢視此政策的許可,請參閱 [AmazonAppStreamFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamFullAccess.html)。
**AmazonAppStreamReadOnlyAccess**
此身分型政策授予使用者唯讀許可,以檢視和監控 WorkSpaces 應用程式資源和相關服務組態。使用者可以存取 WorkSpaces 應用程式主控台來檢視串流應用程式、機群狀態、用量報告和相關聯的資源,但無法進行任何變更。此政策也包含支援 IAM、Application Auto Scaling 和 CloudWatch 等服務所需的讀取許可,以啟用全面的監控和報告功能。
若要檢視此政策的許可,請參閱 [AmazonAppStreamReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamReadOnlyAccess.html)。
WorkSpaces 應用程式主控台使用額外的動作,提供無法透過 CLI 或 AWS SDK AWS 使用的功能。**AmazonAppStreamFullAccess** 和 **AmazonAppStreamReadOnlyAccess** 政策都提供下列動作的許可。
| Action | Description | 存取層級 |
| --- | --- | --- |
| DescribeImageBuilders | 如果提供了映像建置器名稱,則會准許擷取說明一或多個指定的映像建置器清單。否則,帳戶中的所有映像建置器都會予以說明。 | 讀取 |
**AmazonAppStreamPCAAccess**
此受管政策提供 AWS 對帳戶中 Certificate Manager Private CA 資源的完整管理存取權, AWS 以進行憑證型身分驗證。
若要檢視此政策的許可,請參閱 [AmazonAppStreamPCAAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamPCAAccess.html)。
**AmazonAppStreamServiceAccess**
此受管政策是 WorkSpaces 應用程式服務角色的預設政策。
此角色許可政策允許 WorkSpaces 應用程式完成下列動作:
+ 在 WorkSpaces 應用程式機群的帳戶中使用子網路時,WorkSpaces 應用程式可以描述子網路、VPCs 和可用區域,以及建立和管理與這些子網路中機群執行個體相關聯的所有彈性網路介面的生命週期。這也包括能夠將安全群組和 IP 地址從這些子網路連接到這些彈性網路介面。
+ 使用 UPP 和 HomeFolders 等功能時,WorkSpaces 應用程式能夠在帳戶中建立和管理 Amazon S3 儲存貯體、物件及其生命週期、政策和加密組態。這些儲存貯體包含下列命名字首:
+ `"arn:aws:s3:::appstream2-36fb080bb8-",`
+ `"arn:aws:s3:::appstream-app-settings-",`
+ `"arn:aws:s3:::appstream-logs-"`
若要檢視此政策的許可,請參閱 [AmazonAppStreamServiceAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamServiceAccess.html)。
**ApplicationAutoScalingForAmazonAppStreamAccess**
此受管政策可啟用 WorkSpaces 應用程式的應用程式自動擴展。
若要檢視此政策的許可,請參閱 [ApplicationAutoScalingForAmazonAppStreamAccess。 ](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ApplicationAutoScalingForAmazonAppStreamAccess.html)
**AWSApplicationAutoscalingAppStreamFleetPolicy**
此受管政策授予 Application Auto Scaling 存取 WorkSpaces 應用程式和 CloudWatch 的許可。
若要檢視此政策的許可,請參閱 [AWSApplicationAutoscalingAppStreamFleetPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSApplicationAutoscalingAppStreamFleetPolicy.html)。
## WorkSpaces 應用程式更新受 AWS 管政策
檢視自此服務開始追蹤這些變更以來,WorkSpaces 應用程式 AWS 受管政策更新的詳細資訊。如需有關此頁面變更的自動提醒,請訂閱 [Amazon WorkSpaces 應用程式的文件歷史記錄](doc-history.md) 頁面的 RSS 摘要。
| 變更 | 描述 | Date |
| --- | --- | --- |
| AmazonAppStreamServiceAccess – 變更 | 將 `"ec2:DescribeImages"`的允許許可新增至政策 JSON 政策文件 | 2025 年 11 月 17 日 |
| AmazonAppStreamReadOnlyAccess – 變更 | `"appstream:Get*",` 從 JSON 政策文件移除 | 2025 年 10 月 22 日 |
| WorkSpaces 應用程式開始追蹤變更 | WorkSpaces 應用程式開始追蹤其 AWS 受管政策的變更 | 2022 年 10 月 31 日 |
# WorkSpaces 應用程式、Application Auto Scaling 和 AWS Certificate Manager Private CA 所需的角色
在 中 AWS,IAM 角色用於授予 AWS 服務的許可,使其可以存取 AWS 資源。連接到角色的政策會決定服務可存取哪些 AWS 資源,以及該服務可以如何處理這些資源。對於 WorkSpaces 應用程式,除了擁有 **AmazonAppStreamFullAccess** 政策中定義的許可外,您還必須在 AWS 帳戶中擁有下列角色。
**Topics**
+ [AmazonAppStreamServiceAccess](#AmazonAppStreamServiceAccess)
+ [ApplicationAutoScalingForAmazonAppStreamAccess](#ApplicationAutoScalingForAmazonAppStreamAccess)
+ [AWSServiceRoleForApplicationAutoScaling\$1AppStreamFleet](#AWSServiceRoleForApplicationAutoScaling_AppStreamFleet)
+ [AmazonAppStreamPCAAccess](#AppStreamPCAAccess)
## AmazonAppStreamServiceAccess
此角色是在 AWS 區域中開始使用 WorkSpaces 應用程式時自動為您建立的服務角色。如需 服務角色的詳細資訊,請參閱《*IAM 使用者指南*》中的[建立角色以將許可委派給 AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。
建立 WorkSpaces 應用程式資源時,WorkSpaces 應用程式服務會擔任此角色 AWS ,代表您對其他服務進行 API 呼叫。若要建立機群,您的帳戶中必須具備此角色。如果此角色不在 AWS 您的帳戶中,且未連接必要的 IAM 許可和信任關係政策,則您無法建立 WorkSpaces 應用程式機群。
如需詳細資訊,請參閱 [檢查 AmazonAppStreamServiceAccess 服務角色和政策](controlling-access-checking-for-iam-service-access.md) 以檢查 **AmazonAppStreamServiceAccess** 服務角色是否存在,並已連接正確的政策。
**注意**
此服務角色可以具有與開始使用 WorkSpaces 應用程式的第一個使用者不同的許可。如需此角色許可的詳細資訊,請參閱 中的「AmazonAppStreamServiceAccess」[AWS 存取 WorkSpaces 應用程式資源所需的受管政策](managed-policies-required-to-access-appstream-resources.md)。
## ApplicationAutoScalingForAmazonAppStreamAccess
此角色是在 AWS 區域中開始使用 WorkSpaces 應用程式時自動為您建立的服務角色。如需 服務角色的詳細資訊,請參閱《*IAM 使用者指南*》中的[建立角色以將許可委派給 AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。
自動擴展是 WorkSpaces 應用程式機群的一項功能。若要設定擴展政策,您必須在 AWS 帳戶中擁有此服務角色。如果此服務角色不在 AWS 您的帳戶中,且未連接必要的 IAM 許可和信任關係政策,則您無法擴展 WorkSpaces 應用程式機群。
如需詳細資訊,請參閱[檢查 ApplicationAutoScalingForAmazonAppStreamAccess 服務角色和政策](controlling-access-checking-for-iam-autoscaling.md)。
## AWSServiceRoleForApplicationAutoScaling\$1AppStreamFleet
此角色是自動為您建立的服務連結角色。如需詳細資訊,請參閱《應用程式自動擴展使用者指南》**中的[服務連結角色](https://docs.aws.amazon.com/autoscaling/application/userguide/application-auto-scaling-service-linked-roles.html)。
應用程式自動擴展會使用服務連結角色代表您執行自動擴展。*服務連結角色*是直接連結至 AWS 服務的 IAM 角色。此角色包含服務代表您呼叫其他 AWS 服務所需的所有許可。
如需詳細資訊,請參閱[檢查 `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` 服務連結角色和政策](controlling-access-checking-for-iam-service-linked-role-application-autoscaling-appstream-fleet.md)。
## AmazonAppStreamPCAAccess
此角色是在 AWS 區域中開始使用 WorkSpaces 應用程式時自動為您建立的服務角色。如需 服務角色的詳細資訊,請參閱《*IAM 使用者指南*》中的[建立角色以將許可委派給 AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。
憑證型身分驗證是加入 Microsoft Active Directory 網域的 WorkSpaces 應用程式機群的一項功能。若要啟用和使用憑證型身分驗證,您必須在 AWS 帳戶中擁有此服務角色。如果此服務角色不在 AWS 您的帳戶中,且未連接必要的 IAM 許可和信任關係政策,則您無法啟用或停用憑證型身分驗證。
如需詳細資訊,請參閱[檢查 AmazonAppStreamPCAAccess 服務角色和政策](controlling-access-checking-for-AppStreamPCAAccess.md)。
# 檢查 AmazonAppStreamServiceAccess 服務角色和政策
請完成本節中的步驟,檢查是否具備 **AmazonAppStreamServiceAccess** 服務角色並連接正確的政策。如果此角色不在您的帳戶中且必須建立,則您或具有必要許可的管理員必須執行這些步驟,才能在 Amazon Web Services 帳戶中開始使用 WorkSpaces 應用程式。
**檢查 AmazonAppStreamServiceAccess IAM 服務角色是否存在**
1. 在以下網址開啟 IAM 主控台:[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在導覽窗格中,選擇**角色**。
1. 在搜尋方塊中,輸入 **amazonappstreamservice**,縮小要選取的角色清單範圍,然後選擇 **AmazonAppStreamServiceAccess**。如果此角色已列出,請選取它以檢視角色 **Summary (摘要)** 頁面。
1. 在 **Permissions (許可)** 標籤中,確認是否已連接 **AmazonAppStreamServiceAccess** 許可政策。
1. 返回角色 **Summary (摘要)** 頁面。
1. 在 **Trust relationships (信任關係)** 標籤上,選擇 **Show policy document (顯示政策文件)**,然後確認是否已連接 **AmazonAppStreamServiceAccess** 信任關係政策並遵循正確的格式。若是如此,即已正確設定信任關係。選擇**取消**並關閉 IAM 主控台。
## AmazonAppStreamServiceAccess 信任關係政策
**AmazonAppStreamServiceAccess** 信任關係政策必須包含 WorkSpaces 應用程式服務作為委託人。*委託*人是 中的實體 AWS ,可執行動作和存取資源。此政策也必須包含 `sts:AssumeRole` 動作。下列政策組態將 WorkSpaces 應用程式定義為信任的實體。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "appstream.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# 檢查 ApplicationAutoScalingForAmazonAppStreamAccess 服務角色和政策
請完成本節中的步驟,檢查 **ApplicationAutoScalingForAmazonAppStreamAccess** 服務角色是否存在並已連接正確的政策。如果此角色不在您的帳戶中且必須建立,則您或具有必要許可的管理員必須執行這些步驟,才能在 Amazon Web Services 帳戶中開始使用 WorkSpaces 應用程式。
**檢查 ApplicationAutoScalingForAmazonAppStreamAccess IAM 服務角色是否存在**
1. 在以下網址開啟 IAM 主控台:[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在導覽窗格中,選擇**角色**。
1. 在搜尋方塊中,輸入 **applicationautoscaling** 縮小要選取的角色清單範圍,然後選擇 **ApplicationAutoScalingForAmazonAppStreamAccess**。如果此角色已列出,請選取它以檢視角色 **Summary (摘要)** 頁面。
1. 在**許可**索引標籤中,確認是否已連接 **ApplicationAutoScalingForAmazonAppStreamAccess** 許可政策。
1. 返回角色 **Summary (摘要)** 頁面。
1. 在**信任關係**索引標籤上,選擇**顯示政策文件**,然後確認是否已連接 **ApplicationAutoScalingForAmazonAppStreamAccess** 信任關係政策並遵循正確的格式。若是如此,即已正確設定信任關係。選擇**取消**並關閉 IAM 主控台。
## ApplicationAutoScalingForAmazonAppStreamAccess 信任關係政策
**ApplicationAutoScalingForAmazonAppStreamAccess** 信任關係政策必須包含應用程式自動擴展服務作為主體。此政策也必須包含 `sts:AssumeRole` 動作。下列政策組態會將應用程式自動擴展定義為信任的實體。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "application-autoscaling.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# 檢查 `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` 服務連結角色和政策
請完成本節中的步驟,檢查 `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` 服務連結角色是否存在並已連接正確的政策。如果此角色不在您的帳戶中且必須建立,則您或具有必要許可的管理員必須執行這些步驟,才能在 Amazon Web Services 帳戶中開始使用 WorkSpaces 應用程式。
**檢查 `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` IAM 服務連結角色是否存在**
1. 在以下網址開啟 IAM 主控台:[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在導覽窗格中,選擇**角色**。
1. 在搜尋方塊中,輸入 **applicationautoscaling** 縮小要選取的角色清單範圍,然後選擇 `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet`。如果此角色已列出,請選取它以檢視角色 **Summary (摘要)** 頁面。
1. 在**許可**索引標籤中,確認是否已連接 `AWSApplicationAutoscalingAppStreamFleetPolicy` 許可政策。
1. 返回角色 **Summary (摘要)** 頁面。
1. 在**信任關係**索引標籤上,選擇**顯示政策文件**,然後確認是否已連接 `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` 信任關係政策並遵循正確的格式。若是如此,即已正確設定信任關係。選擇**取消**並關閉 IAM 主控台。
## AWSServiceRoleForApplicationAutoScaling\$1AppStreamFleet 信任關係政策
`AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` 信任關係政策必須包含 **appstream.application-autoscaling.amazonaws.com** 作為主體。此政策也必須包含 `sts:AssumeRole` 動作。以下政策組態將 **appstream.application-autoscaling.amazonaws.com** 定義為信任實體。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "appstream.application-autoscaling.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# 檢查 AmazonAppStreamPCAAccess 服務角色和政策
請完成本節中的步驟,檢查 **AmazonAppStreamPCAAccess** 服務角色是否存在並已連接正確的政策。如果此角色不在您的帳戶中且必須建立,則您或具有必要許可的管理員必須執行這些步驟,才能在 Amazon Web Services 帳戶中開始使用 WorkSpaces 應用程式。
**檢查 AmazonAppStreamPCAAccess IAM 服務角色是否存在**
1. 在以下網址開啟 IAM 主控台:[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在導覽窗格中,選擇**角色**。
1. 在搜尋方塊中,輸入 **appstreampca** 縮小要選取的角色清單範圍,然後選擇 **AmazonAppStreamPCAAccess**。如果此角色已列出,請選取它以檢視角色 **Summary (摘要)** 頁面。
1. 在**許可**索引標籤中,確認是否已連接 **AmazonAppStreamPCAAccess** 許可政策。
1. 返回角色 **Summary (摘要)** 頁面。
1. 在**信任關係**索引標籤上,選擇**顯示政策文件**,然後確認是否已連接 **AmazonAppStreamPCAAccess** 信任關係政策並遵循正確的格式。若是如此,即已正確設定信任關係。選擇**取消**並關閉 IAM 主控台。
## AmazonAppStreamPCAAccess 信任關係政策
**AmazonAppStreamPCAAccess** 信任關係政策必須包含 prod.euc.ecm.amazonaws.com 作為主體。此政策也必須包含 `sts:AssumeRole` 動作。下列政策組態會將 ECM 定義為信任的實體。
**使用 CLI 建立 AmazonAppStreamPCAAccess AWS 信任關係政策**
1. 使用以下文字建立名為 `AmazonAppStreamPCAAccess.json` 的 JSON 檔案。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"prod.euc.ecm.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {}
}
]
}
```
------
1. 視需要調整`AmazonAppStreamPCAAccess.json`路徑並執行下列 AWS CLI 命令,以建立信任關係政策並連接 AmazonAppStreamPCAAccess 受管政策。如需受管政策的更多相關資訊,請參閱[AWS 存取 WorkSpaces 應用程式資源所需的受管政策](managed-policies-required-to-access-appstream-resources.md)。
```
aws iam create-role --path /service-role/ --role-name AmazonAppStreamPCAAccess --assume-role-policy-document file://AmazonAppStreamPCAAccess.json
```
```
aws iam attach-role-policy —role-name AmazonAppStreamPCAAccess —policy-arn arn:aws:iam::aws:policy/AmazonAppStreamPCAAccess
```