Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Actions, ressources et clés de condition pour Amazon AppStream 2.0
Amazon AppStream 2.0 (préfixe de service :appstream) fournit les ressources, actions et clés de contexte de condition spécifiques aux services suivantes à utiliser dans IAM les politiques d'autorisation.
Références :
-
Découvrez comment configurer ce service.
-
Consultez la liste des APIopérations disponibles pour ce service.
-
Découvrez comment sécuriser ce service et ses ressources à l'aide de politiques IAM d'autorisation.
Rubriques
Actions définies par Amazon AppStream 2.0
Vous pouvez spécifier les actions suivantes dans l'Actionélément d'une déclaration de IAM politique. Utilisez des politiques pour accorder des autorisations permettant d'effectuer une opération dans AWS. Lorsque vous utilisez une action dans une politique, vous autorisez ou refusez généralement l'accès à l'APIopération ou à la CLI commande portant le même nom. Toutefois, dans certains cas, une seule action contrôle l'accès à plusieurs opérations. D'autres opérations, quant à elles, requièrent plusieurs actions différentes.
La colonne Types de ressources indique si chaque action prend en charge les autorisations au niveau des ressources. S'il n'y a pas de valeur pour cette colonne, vous devez indiquer toutes les ressources (« * ») dans l'élément Resource de votre déclaration de politique. Si la colonne inclut un type de ressource, vous pouvez spécifier un type ARN de ressource de ce type dans une instruction comportant cette action. Si l'action comporte une ou plusieurs ressources requises, l'appelant doit être autorisé à utiliser l'action avec ces ressources. Les ressources requises sont indiquées dans le tableau par un astérisque (*). Si vous limitez l'accès aux ressources avec l'Resourceélément d'une IAM politique, vous devez inclure un modèle ARN ou pour chaque type de ressource requis. Certaines actions prennent en charge plusieurs types de ressources. Si le type de ressource est facultatif (non indiqué comme obligatoire), vous pouvez choisir d'utiliser l'un, mais pas l'autre.
La colonne Clés de condition inclut des clés que vous pouvez spécifier dans l'élément Condition d'une déclaration de politique. Pour plus d'informations sur les clés de condition associées aux ressources du service, consultez la colonne Clés de condition du tableau des types de ressources.
Note
Les clés de condition des ressources sont répertoriées dans le tableau Types de ressources. Vous pouvez trouver un lien vers le type de ressource qui s'applique à une action dans la colonne Types de ressources (* obligatoire) du tableau Actions. Le type de ressource indiqué dans le tableau Types de ressources inclut la colonne Clés de condition, qui contient les clés de condition de ressource qui s'appliquent à une action dans le tableau Actions.
Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Actions.
| Actions | Description | Niveau d'accès | Types de ressources (*obligatoire) | Clés de condition | Actions dépendantes |
|---|---|---|---|---|---|
| AssociateAppBlockBuilderAppBlock | Accorde l'autorisation d'associer le générateur de blocs d'applications spécifié au bloc d'applications | Écrire | |||
| AssociateApplicationFleet | Accorde l'autorisation d'associer l'application spécifiée à la flotte | Écrire | |||
| AssociateApplicationToEntitlement | Accorde l'autorisation d'associer l'application spécifiée au droit spécifié | Écrire | |||
| AssociateFleet | Accorde l'autorisation d'associer la flotte spécifiée à la pile spécifiée | Écriture | |||
| BatchAssociateUserStack | Accorde l'autorisation d'associer les utilisateurs spécifiés aux piles spécifiées. Les utilisateurs appartenant à un groupe d'utilisateurs ne peuvent pas être affectés à des piles comprenant des parcs joints à un domaine Active Directory | Écriture | |||
| BatchDisassociateUserStack | Accorde l'autorisation de dissocier les utilisateurs spécifiés des piles spécifiées | Écrire | |||
| CopyImage | Accorde l'autorisation de copier l'image spécifiée dans la même région ou dans une nouvelle région au sein de la même Compte AWS | Écrire | |||
| CreateAppBlock | Accorde l'autorisation de créer un bloc d'applications. Les blocs d'applications stockent des informations sur le disque dur virtuel qui contient les fichiers de l'application dans un compartiment S3. Il stocke également le script de configuration avec des instructions sur le montage du disque dur virtuel. Les blocs d'applications sont uniquement pris en charge pour les flottes Elastic. | Écrire | |||
| CreateAppBlockBuilder | Accorde l'autorisation de créer un générateur de blocs d'applications. Le générateur de blocs d'applications est une machine virtuelle utilisée pour créer un bloc d'applications | Écrire | |||
| CreateAppBlockBuilderStreamingURL | Accorde l'autorisation de créer une session de streaming URL pour démarrer une session de streaming App Block Builder | Écrire | |||
| CreateApplication | Accorde l'autorisation de créer une application dans un compte client. Les applications stockent des informations sur la manière de lancer des d'applications sur des instances de streaming. Ceci est uniquement pris en charge pour les flottes Elastic. | Écrire | |||
| CreateDirectoryConfig | Accorde l'autorisation de créer un objet Directory Config dans la AppStream version 2.0. Cet objet inclut les informations de configuration requises pour joindre des parcs et des instances Image Builder à des domaines Microsoft Active Directory | Écrire | |||
| CreateEntitlement | Accorde l'autorisation de créer un droit pour contrôler l'accès aux applications en fonction des attributs utilisateur | Écrire | |||
| CreateFleet | Accorde l'autorisation de créer un parc. Un parc est un groupe d'instances de streaming à partir duquel les applications sont lancées et diffusées aux utilisateurs | Écriture | |||
| CreateImageBuilder | Accorde l'autorisation de créer une instance Image Builder. Une instance Image Builder est une machine virtuelle utilisée pour créer une image | Écrire | |||
| CreateImageBuilderStreamingURL | Accorde l'autorisation de créer une session de streaming URL pour démarrer une session de création d'images | Écrire | |||
| CreateStack | Accorde l'autorisation de créer une pile pour lancer le streaming d'applications aux utilisateurs. Une pile se compose d'un parc associé, de stratégies d'accès des utilisateurs et de configurations de stockage | Écrire | |||
| CreateStreamingURL | Accorde l'autorisation de créer une session de streaming temporaire URL pour démarrer une session de streaming AppStream 2.0 pour l'utilisateur spécifié. Un streaming URL permet de tester le streaming d'applications sans configuration utilisateur | Écrire | |||
| CreateThemeForStack | Accorde l'autorisation de créer un thème de marque personnalisé, qui peut inclure un logo personnalisé, des liens vers des sites Web et d'autres éléments de marque à afficher auprès de vos utilisateurs | Écrire | |||
| CreateUpdatedImage | Accorde l'autorisation de mettre à jour une image existante dans le compte client | Écrire | |||
| CreateUsageReportSubscription | Accorde l'autorisation de créer un abonnement au rapport d'utilisation. Les rapports d'utilisation sont générés tous les jours | Écriture | |||
| CreateUser | Accorde l'autorisation de créer un nouvel utilisateur dans le groupe d'utilisateurs | Écrire | |||
| DeleteAppBlock | Accorde l'autorisation de supprimer le bloc d'applications spécifié | Écrire | |||
| DeleteAppBlockBuilder | Accorde l'autorisation de supprimer le générateur de blocs d'applications spécifié et de libérer la capacité | Écrire | |||
| DeleteApplication | Accorde l'autorisation de supprimer l'application spécifiée | Écrire | |||
| DeleteDirectoryConfig | Accorde l'autorisation de supprimer l'objet Directory Config spécifié à partir de la AppStream version 2.0. Cet objet inclut les informations de configuration requises pour joindre des parcs et des instances Image Builder à des domaines Microsoft Active Directory | Écrire | |||
| DeleteEntitlement | Accorde l'autorisation de supprimer le droit spécifié | Écrire | |||
| DeleteFleet | Accorde l'autorisation de supprimer le parc spécifié | Écriture | |||
| DeleteImage | Accorde l'autorisation de supprimer l'image spécifiée. Une image ne peut pas être supprimée lorsqu'elle est en cours d'utilisation | Écriture | |||
| DeleteImageBuilder | Accorde l'autorisation de supprimer l'instance Image Builder spécifiée et de libérer la capacité | Écriture | |||
| DeleteImagePermissions | Accorde l'autorisation de supprimer les autorisations pour l'image privée spécifiée | Écriture | |||
| DeleteStack | Accorde l'autorisation de supprimer la pile spécifiée. Une fois la pile supprimée, l'environnement de streaming d'application fourni par la pile n'est plus accessible aux utilisateurs. De plus, les réservations effectuées pour les sessions de streaming d'application pour la pile sont publiées | Écrire | |||
| DeleteThemeForStack | Accorde l'autorisation de supprimer un thème de marque personnalisé, qui peut inclure un logo personnalisé, des liens vers des sites Web et d'autres éléments de marque à afficher auprès de vos utilisateurs | Écrire | |||
| DeleteUsageReportSubscription | Accorde l'autorisation de désactiver la génération du rapport d'utilisation | Écriture | |||
| DeleteUser | Accorde l'autorisation de supprimer un utilisateur du groupe d'utilisateurs | Écrire | |||
| DescribeAppBlockBuilderAppBlockAssociations | Accorde l'autorisation de récupérer les associations liées au générateur de blocs d'applications ou au bloc d'applications spécifié | Lecture | |||
| DescribeAppBlockBuilders | Accorde l'autorisation de récupérer une liste décrivant un ou plusieurs générateurs de blocs d'applications spécifiés, si les noms des générateurs de blocs d'applications sont fournis. Sinon, tous les générateurs de blocs d'applications du compte sont décrits | Lecture | |||
| DescribeAppBlocks | Accorde l'autorisation de récupérer une liste qui décrit la ou les blocs d'applications spécifiés, si les ARN des blocs d'applications sont fournis. Sinon, tous les blocs d'applications du compte sont décrits | Lecture | |||
| DescribeApplicationFleetAssociations | Accorde l'autorisation de récupérer les associations associées à l'application ou à la flotte spécifiée | Lecture | |||
| DescribeApplications | Accorde l'autorisation de récupérer une liste qui décrit une ou plusieurs applications, si les ARN de l'application sont fournis. Sinon, toutes les applications du compte sont décrits | Lecture | |||
| DescribeDirectoryConfigs | Accorde l'autorisation de récupérer une liste qui décrit un ou plusieurs objets Directory Config spécifiés pour AppStream 2.0, si les noms de ces objets sont fournis. Sinon, tous les objets Directory Config du compte sont décrits. Cet objet inclut les informations de configuration requises pour joindre des parcs et des instances Image Builder à des domaines Microsoft Active Directory | Lecture | |||
| DescribeEntitlements | Accorde l'autorisation de récupérer un ou tous les droits de la pile spécifiée | Lecture | |||
| DescribeFleets | Accorde l'autorisation de récupérer une liste qui décrit un ou plusieurs parcs, si les noms des parcs sont fournis. Sinon, tous les parcs du compte sont décrits | Lecture | |||
| DescribeImageBuilders | Accorde l'autorisation de récupérer une liste qui décrit une ou plusieurs instances Image Builders, si les noms de celles-ci sont fournis. Sinon, toutes les instances Image Builders du compte sont décrites | Lecture | |||
| DescribeImagePermissions | Accorde l'autorisation de récupérer une liste qui décrit les autorisations de partage Compte AWS IDs sur une image privée que vous possédez | Lecture | |||
| DescribeImages | Accorde l'autorisation de récupérer une liste qui décrit une ou plusieurs images spécifiées, si les noms ou ARNs les images sont fournis. Sinon, toutes les images du compte sont décrites | Lecture | |||
| DescribeSessions | Accorde l'autorisation de récupérer une liste décrivant les sessions de streaming pour la pile et le parc spécifiés. Si un ID utilisateur est fourni pour la pile et le parc, seules les sessions de streaming pour cet utilisateur sont décrites | Lecture | |||
| DescribeStacks | Accorde l'autorisation de récupérer une liste qui décrit la ou les piles spécifiées, si les noms de la pile sont fournis. Sinon, toutes les piles du compte sont décrites | Lecture | |||
| DescribeThemeForStack | Accorde l'autorisation d'obtenir les informations du thème de marque personnalisé, qui peuvent inclure un logo personnalisé, des liens vers des sites Web et d'autres informations de marque à afficher auprès de vos utilisateurs | Lecture | |||
| DescribeUsageReportSubscriptions | Accorde l'autorisation de récupérer une liste qui décrit un ou plusieurs abonnements au rapport d'utilisation | Lecture | |||
| DescribeUserStackAssociations | Accorde l'autorisation de récupérer une liste qui décrit les UserStackAssociation objets | Lecture | |||
| DescribeUsers | Accorde l'autorisation de récupérer une liste qui décrit les utilisateurs du groupe d'utilisateurs | Lecture | |||
| DisableUser | Accorde l'autorisation de désactiver l'utilisateur spécifié dans le groupe d'utilisateurs. Cette action ne permet pas de supprimer l'utilisateur | Écrire | |||
| DisassociateAppBlockBuilderAppBlock | Accorde l'autorisation de dissocier le générateur de blocs d'applications spécifié à partir du bloc d'applications | Écrire | |||
| DisassociateApplicationFleet | Accorde l'autorisation de dissocier l'application spécifiée à partir de la flotte spécifiée | Écrire | |||
| DisassociateApplicationFromEntitlement | Accorde l'autorisation de dissocier l'application spécifiée à partir du droit spécifié | Écrire | |||
| DisassociateFleet | Accorde l'autorisation de dissocier le parc spécifié à partir de la pile spécifiée | Écriture | |||
| EnableUser | Accorde l'autorisation d'activer un utilisateur dans le groupe d'utilisateurs | Écriture | |||
| ExpireSession | Accorde l'autorisation d'arrêter immédiatement la session de streaming spécifiée | Écriture | |||
| ListAssociatedFleets | Accorde l'autorisation de récupérer le nom du parc associé à la pile spécifiée | Lecture | |||
| ListAssociatedStacks | Accorde l'autorisation de récupérer le nom de la pile à laquelle le parc spécifié est associé | Lecture | |||
| ListEntitledApplications | Accorde l'autorisation de récupérer les applications associées au droit spécifié | Liste | |||
| ListTagsForResource | Accorde l'autorisation de récupérer une liste de toutes les balises pour la ressource AppStream 2.0 spécifiée. Les ressources suivantes peuvent être balisées : des instances Image Builders, des images, des parcs et des piles | Lecture | |||
| StartAppBlockBuilder | Accorde l'autorisation de démarrer le générateur de blocs d'applications spécifié | Écrire | |||
| StartFleet | Accorde l'autorisation de lancer le parc spécifié | Écriture | |||
| StartImageBuilder | Accorde l'autorisation de lancer l'instance Image Builder spécifiée | Écrire | |||
| StopAppBlockBuilder | Accorde l'autorisation d'arrêter le générateur de blocs d'applications spécifié | Écrire | |||
| StopFleet | Accorde l'autorisation d'arrêter le parc spécifié | Écriture | |||
| StopImageBuilder | Accorde l'autorisation d'arrêter l'instance Image Builder spécifiée | Écriture | |||
| Stream | Accorde l'autorisation aux utilisateurs fédérés de se connecter à l'aide de leurs informations d'identification existantes et de diffuser des applications à partir de la pile spécifiée | Écrire | |||
| TagResource | Accorde l'autorisation d'ajouter ou de remplacer une ou plusieurs balises pour la ressource AppStream 2.0 spécifiée. Les ressources suivantes peuvent être balisées : des instances Image Builders, des images, des flottes, des piles, des blocs d'applications et des applications | Identification | |||
| UntagResource | Accorde l'autorisation de dissocier une ou plusieurs balises de la ressource AppStream 2.0 spécifiée | Identification | |||
| UpdateAppBlockBuilder | Accorde l'autorisation de mettre à jour le générateur de blocs d'applications spécifié. Le générateur de blocs d'applications est une machine virtuelle utilisée pour créer un bloc d'applications | Écrire | |||
| UpdateApplication | Accorde l'autorisation de mettre à jour les champs spécifiés pour l'application spécifiée | Écrire | |||
| UpdateDirectoryConfig | Accorde l'autorisation de mettre à jour l'objet Directory Config spécifié dans la AppStream version 2.0. Cet objet inclut les informations de configuration requises pour joindre des parcs et des instances Image Builder à des domaines Microsoft Active Directory | Écrire | |||
| UpdateEntitlement | Accorde l'autorisation de mettre à jour les champs spécifiés pour le droit spécifié | Écrire | |||
| UpdateFleet | Accorde l'autorisation de mettre à jour le parc spécifié. Tous les attributs, à l'exception du nom de la flotte, peuvent être mis à jour lorsque la flotte est dans l'STOPPEDétat | Écrire | |||
| UpdateImagePermissions | Accorde l'autorisation d'ajouter ou de mettre à jour les autorisations pour l'image privée spécifiée | Écriture | |||
| UpdateStack | Accorde l'autorisation de mettre à jour les champs spécifiés pour la pile spécifiée | Écrire | |||
| UpdateThemeForStack | Accorde l'autorisation de mettre à jour les informations du thème de marque personnalisé, qui peuvent inclure un logo personnalisé, des liens vers des sites Web et d'autres informations de marque à afficher auprès de vos utilisateurs | Écrire |
Types de ressources définis par Amazon AppStream 2.0
Les types de ressources suivants sont définis par ce service et peuvent être utilisés dans l'Resourceélément des déclarations de politique d'IAMautorisation. Chaque action du tableau Actions identifie les types de ressources pouvant être spécifiés avec cette action. Un type de ressource peut également définir les clés de condition que vous pouvez inclure dans une politique. Ces clés sont affichées dans la dernière colonne du tableau. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Types de ressources.
| Types de ressources | ARN | Clés de condition |
|---|---|---|
| fleet |
arn:${Partition}:appstream:${Region}:${Account}:fleet/${FleetName}
|
|
| image |
arn:${Partition}:appstream:${Region}:${Account}:image/${ImageName}
|
|
| image-builder |
arn:${Partition}:appstream:${Region}:${Account}:image-builder/${ImageBuilderName}
|
|
| stack |
arn:${Partition}:appstream:${Region}:${Account}:stack/${StackName}
|
|
| app-block |
arn:${Partition}:appstream:${Region}:${Account}:app-block/${AppBlockName}
|
|
| application |
arn:${Partition}:appstream:${Region}:${Account}:application/${ApplicationName}
|
|
| app-block-builder |
arn:${Partition}:appstream:${Region}:${Account}:app-block-builder/${AppBlockBuilderName}
|
Clés de condition pour Amazon AppStream 2.0
Amazon AppStream 2.0 définit les clés de condition suivantes qui peuvent être utilisées dans l'Conditionélément d'une IAM politique. Vous pouvez utiliser ces clés pour affiner les conditions d'application de la déclaration de politique. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Clés de condition.
Pour afficher les clés de condition globales disponibles pour tous les services, consultez Clés de condition globales disponibles.
| Clés de condition | Description | Type |
|---|---|---|
| appstream:userId | Filtre l'accès en fonction de l'ID de l'utilisateur AppStream 2.0 | Chaîne |
| aws:RequestTag/${TagKey} | Filtre l'accès en fonction de la présence de paires clé-valeur d'identification dans la demande | Chaîne |
| aws:ResourceTag/${TagKey} | Filtre l'accès en fonction des paires clé-valeur d'identification attachées à la ressource | Chaîne |
| aws:TagKeys | Filtre l'accès en fonction de la présence de clés d'identification dans la demande | ArrayOfString |
