本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS 存取 WorkSpaces 應用程式資源所需的受管政策
<a name="managed-policies-required-to-access-appstream-resources"></a>

若要提供 WorkSpaces 應用程式的完整管理或唯讀存取權，您必須將下列其中一個 AWS 受管政策連接至需要這些許可的 IAM 使用者或群組。「AWS 受管政策」**為獨立的政策，由 AWS建立並管理。如需詳細資訊，請參閱《*IAM 使用者指南*》中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。

**注意**  
在 中 AWS，IAM 角色用於授予 AWS 服務的許可，使其可以存取 AWS 資源。連接到角色的政策會決定服務可存取哪些 AWS 資源，以及該服務可以如何處理這些資源。對於 WorkSpaces 應用程式，除了擁有 **AmazonAppStreamFullAccess** 政策中定義的許可外，您還必須在 AWS 帳戶中擁有所需的角色。如需詳細資訊，請參閱[WorkSpaces 應用程式、Application Auto Scaling 和 AWS Certificate Manager Private CA 所需的角色](roles-required-for-appstream.md)。

**AmazonAppStreamFullAccess**  
此受管政策提供 WorkSpaces 應用程式資源的完整管理存取權。若要透過 AWS 命令列界面 (AWS CLI)、 AWS SDK 或 AWS 管理主控台管理 WorkSpaces 應用程式資源並執行 API 動作，您必須擁有此政策中定義的許可。  
如果您以 IAM 使用者身分登入 WorkSpaces 應用程式主控台，您必須將此政策連接至您的 AWS 帳戶。如果您是透過主控台聯合登入，則必須將此政策連接至用於聯合的 IAM 角色。  
若要檢視此政策的許可，請參閱 [AmazonAppStreamFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamFullAccess.html)。

**AmazonAppStreamReadOnlyAccess**  
此身分型政策授予使用者唯讀許可，以檢視和監控 WorkSpaces 應用程式資源和相關服務組態。使用者可以存取 WorkSpaces 應用程式主控台來檢視串流應用程式、機群狀態、用量報告和相關聯的資源，但無法進行任何變更。此政策也包含支援 IAM、Application Auto Scaling 和 CloudWatch 等服務所需的讀取許可，以啟用全面的監控和報告功能。  
若要檢視此政策的許可，請參閱 [AmazonAppStreamReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamReadOnlyAccess.html)。

WorkSpaces 應用程式主控台使用額外的動作，提供無法透過 CLI 或 AWS SDK AWS 使用的功能。**AmazonAppStreamFullAccess** 和 **AmazonAppStreamReadOnlyAccess** 政策都提供下列動作的許可。


| Action | Description | 存取層級 | 
| --- | --- | --- | 
| DescribeImageBuilders | 如果提供了映像建置器名稱，則會准許擷取說明一或多個指定的映像建置器清單。否則，帳戶中的所有映像建置器都會予以說明。 | 讀取 | 

**AmazonAppStreamPCAAccess**  
此受管政策提供 AWS 對帳戶中 Certificate Manager Private CA 資源的完整管理存取權， AWS 以進行憑證型身分驗證。  
若要檢視此政策的許可，請參閱 [AmazonAppStreamPCAAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamPCAAccess.html)。

**AmazonAppStreamServiceAccess**  
此受管政策是 WorkSpaces 應用程式服務角色的預設政策。  
此角色許可政策允許 WorkSpaces 應用程式完成下列動作：  
+ 在 WorkSpaces 應用程式機群的帳戶中使用子網路時，WorkSpaces 應用程式可以描述子網路、VPCs 和可用區域，以及建立和管理與這些子網路中機群執行個體相關聯的所有彈性網路介面的生命週期。這也包括能夠將安全群組和 IP 地址從這些子網路連接到這些彈性網路介面。
+ 使用 UPP 和 HomeFolders 等功能時，WorkSpaces 應用程式能夠在帳戶中建立和管理 Amazon S3 儲存貯體、物件及其生命週期、政策和加密組態。這些儲存貯體包含下列命名字首：
  + `"arn:aws:s3:::appstream2-36fb080bb8-",`
  + `"arn:aws:s3:::appstream-app-settings-",`
  + `"arn:aws:s3:::appstream-logs-"`
若要檢視此政策的許可，請參閱 [AmazonAppStreamServiceAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamServiceAccess.html)。

**ApplicationAutoScalingForAmazonAppStreamAccess**  
此受管政策可啟用 WorkSpaces 應用程式的應用程式自動擴展。  
若要檢視此政策的許可，請參閱 [ApplicationAutoScalingForAmazonAppStreamAccess。 ](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ApplicationAutoScalingForAmazonAppStreamAccess.html)

**AWSApplicationAutoscalingAppStreamFleetPolicy**  
此受管政策授予 Application Auto Scaling 存取 WorkSpaces 應用程式和 CloudWatch 的許可。  
若要檢視此政策的許可，請參閱 [AWSApplicationAutoscalingAppStreamFleetPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSApplicationAutoscalingAppStreamFleetPolicy.html)。

## WorkSpaces 應用程式更新受 AWS 管政策
<a name="security-iam-awsmanpol-updates"></a>



檢視自此服務開始追蹤這些變更以來，WorkSpaces 應用程式 AWS 受管政策更新的詳細資訊。如需有關此頁面變更的自動提醒，請訂閱 [Amazon WorkSpaces 應用程式的文件歷史記錄](doc-history.md) 頁面的 RSS 摘要。




| 變更 | 描述 | Date | 
| --- | --- | --- | 
|  AmazonAppStreamServiceAccess – 變更  |   將 `"ec2:DescribeImages"`的允許許可新增至政策 JSON 政策文件  | 2025 年 11 月 17 日 | 
|  AmazonAppStreamReadOnlyAccess – 變更  |   `"appstream:Get*",` 從 JSON 政策文件移除  | 2025 年 10 月 22 日 | 
|  WorkSpaces 應用程式開始追蹤變更  |  WorkSpaces 應用程式開始追蹤其 AWS 受管政策的變更  | 2022 年 10 月 31 日 |