Amazon AppStream 2.0 のアクション、リソース、および条件キー - サービス認証リファレンス

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

Amazon AppStream 2.0 のアクション、リソース、および条件キー

Amazon AppStream 2.0 (サービスプレフィックス: appstream) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

参照:

Amazon AppStream 2.0 で定義されるアクション

IAM ポリシーステートメントの Action 要素では、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[リソースタイプ] 列は、各アクションがリソースレベルのアクセス許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素ですべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。必須リソースは、アスタリスク (*) でテーブルに示されています。このアクションを使用してステートメントでリソースレベルのアクセス許可 ARN を指定する場合、このタイプである必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、一方を使用することはできますが、他方を使用することはできません。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
AssociateFleet 指定したフリートを指定したスタックに関連付けるアクセス許可を付与します。 書き込み

fleet*

stack*

aws:ResourceTag/${TagKey}

BatchAssociateUserStack 指定したユーザーを指定したスタックに関連付けるアクセス許可を付与します。ユーザープール内のユーザーは、Active Directory ドメインに参加しているフリートを持つスタックに割り当てることはできません。 書き込み

stack*

aws:ResourceTag/${TagKey}

BatchDisassociateUserStack 指定したスタックから指定したユーザーの関連付けを解除するアクセス許可を付与します。 書き込み

stack*

aws:ResourceTag/${TagKey}

CopyImage 同じリージョン内で指定されたイメージをコピーするか、同じ AWS アカウント内の新しいリージョンにイメージをコピーするアクセス許可を付与します。 書き込み

image*

aws:ResourceTag/${TagKey}

CreateDirectoryConfig AppStream 2.0 で Directory Config オブジェクトを作成するアクセス許可を付与します。このオブジェクトには、フリートおよび Image Builder を Microsoft Active Directory ドメインに参加させるために必要な設定情報が含まれます。 書き込み
CreateFleet フリートを作成するアクセス許可を付与します。フリートはストリーミングインスタンスのグループで、ここからアプリケーションが実行され、ユーザーにストリーミングされます。 書き込み

fleet*

image*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateImageBuilder Image Builder を作成するアクセス許可を付与します。Image Builder は、イメージの作成に使用される仮想マシンです。 書き込み

image*

image-builder*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateImageBuilderStreamingURL イメージビルダーストリーミングセッションを開始するための URL を作成するアクセス許可を付与します。 書き込み

image-builder*

aws:ResourceTag/${TagKey}

CreateStack ユーザーに対してストリーミングアプリケーションを開始するためのスタックを作成するアクセス許可を付与します。スタックは、関連付けられたフリート、ユーザーアクセスポリシー、ストレージ設定で構成されます。 書き込み

stack*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateStreamingURL 指定したユーザーに対して AppStream 2.0 ストリーミングセッションを開始するための一時的な URL を作成するアクセス許可を付与します。ストリーミング URL により、ユーザーのセットアップなしでアプリケーションのストリーミングをテストすることができます。 書き込み

fleet*

stack*

aws:ResourceTag/${TagKey}

CreateUsageReportSubscription 使用状況レポートのサブスクリプションを作成するアクセス許可を付与します。使用状況レポートは毎日生成されます。 書き込み
CreateUser ユーザープールに新しいユーザーを作成するアクセス許可を付与します。 書き込み
DeleteDirectoryConfig 指定した Directory Config オブジェクトを AppStream 2.0 から削除するアクセス許可を付与します。このオブジェクトには、フリートおよび Image Builder を Microsoft Active Directory ドメインに参加させるために必要な設定情報が含まれます。 書き込み
DeleteFleet 指定したフリートを削除するアクセス許可を付与します。 書き込み

fleet*

aws:ResourceTag/${TagKey}

DeleteImage 指定したイメージを削除するアクセス許可を付与します。イメージは、使用中の場合は削除できません。 書き込み

image*

aws:ResourceTag/${TagKey}

DeleteImageBuilder 指定した Image Builder を削除して容量を解放するアクセス権限を付与します。 書き込み

image-builder*

aws:ResourceTag/${TagKey}

DeleteImagePermissions 指定したプライベートイメージのアクセス許可を削除するアクセス許可を付与します。 書き込み

image*

aws:ResourceTag/${TagKey}

DeleteStack 指定したスタックを削除するアクセス許可を付与します。スタックの削除後、ユーザーは、スタックによって提供されたアプリケーションストリーミング環境を利用できなくなります。また、スタックのアプリケーションストリーミングセッションに行われたすべての予約も解放されます。 書き込み

stack*

aws:ResourceTag/${TagKey}

DeleteUsageReportSubscription 使用状況レポートの生成を無効にするアクセス許可を付与します。 書き込み
DeleteUser ユーザープールからユーザーを削除するアクセス許可を付与します。 書き込み
DescribeDirectoryConfigs AppStream 2.0 の 1 つ以上の指定した Directory Config オブジェクトの名前が設定されている場合、それらのオブジェクトを記述するリストを取得するアクセス許可を付与します。それ以外の場合は、アカウントのすべての Directory Config オブジェクトが記述されます。このオブジェクトには、フリートおよび Image Builder を Microsoft Active Directory ドメインに参加させるために必要な設定情報が含まれます。 Read
DescribeFleets フリート名が設定されている場合、1 つ以上の指定したフリートを記述するリストを取得するアクセス許可を付与します。それ以外の場合は、アカウントのすべてのフリートが記述されます。 Read

fleet

DescribeImageBuilders イメージビルダー名が設定されている場合、1 つ以上の指定したイメージビルダーを記述するリストを取得するアクセス許可を付与します。それ以外の場合は、アカウントのすべてのイメージビルダーが記述されます。 Read

image-builder

DescribeImagePermissions 所有しているプライベートイメージでの共有 AWS アカウント ID のアクセス許可を記述するリストを取得するアクセス許可を付与します。 Read

image*

DescribeImages イメージ名またはイメージ ARN が設定されている場合、1 つ以上の指定したイメージを記述するリストを取得するアクセス許可を付与します。それ以外の場合は、アカウントのすべてのイメージが記述されます。 Read

image

DescribeSessions 指定したスタックおよびフリートのストリーミングセッションを記述するリストを取得するアクセス許可を付与します。スタックとフリートに対してユーザー ID が設定されている場合は、そのユーザーのストリーミングセッションのみが記述されます。 Read

fleet*

stack*

DescribeStacks スタック名が設定されている場合、1 つ以上の指定したスタックを記述するリストを取得するアクセス許可を付与します。それ以外の場合は、アカウントのすべてのスタックが記述されます。 Read

stack

DescribeUsageReportSubscriptions 1 つ以上の使用状況レポートのサブスクリプションを記述するリストを取得するアクセス許可を付与します。 Read
DescribeUserStackAssociations UserStackAssociation オブジェクトを記述するリストを取得するアクセス許可を付与します。 Read

stack

DescribeUsers ユーザープール内のユーザーを記述するリストを取得するアクセス許可を付与します。 Read
DisableUser ユーザープールで指定したユーザーを無効にするアクセス許可を付与します。このアクションによりユーザーは削除されません。 書き込み
DisassociateFleet 指定したスタックから指定したフリートの関連付けを解除するアクセス許可を付与します。 書き込み

fleet*

stack*

aws:ResourceTag/${TagKey}

EnableUser ユーザープールのユーザーを有効にするアクセス許可を付与します。 書き込み
ExpireSession 指定したストリーミングセッションをすぐに停止するアクセス許可を付与します。 書き込み
ListAssociatedFleets 指定したスタックに関連付けられているフリートの名前を取得するアクセス許可を付与します。 Read

stack*

ListAssociatedStacks 指定したフリートが関連付けられているスタックの名前を取得するアクセス許可を付与します。 Read

fleet*

ListTagsForResource 指定した AppStream 2.0 リソースのすべてのタグのリストを取得するアクセス権限を付与します。イメージビルダー、イメージ、フリート、およびスタックのリソースをタグ付けすることができます。 Read
StartFleet 指定されたフリートを開始するアクセス許可を付与します。 書き込み

fleet*

aws:ResourceTag/${TagKey}

StartImageBuilder 指定したイメージビルダーを開始するアクセス許可を付与します。 書き込み

image-builder*

aws:ResourceTag/${TagKey}

StopFleet 指定したフリートを停止するアクセス許可を付与します。 書き込み

fleet*

aws:ResourceTag/${TagKey}

StopImageBuilder 指定したイメージビルダーを停止するアクセス権限を付与します。 書き込み

image-builder*

aws:ResourceTag/${TagKey}

Stream 指定したスタックから既存の認証情報およびストリームアプリケーションを使用してサインインするアクセス許可をフェデレーティッドユーザーに付与します。 書き込み

stack*

appstream:userId

TagResource 指定した AppStream 2.0 リソースの 1 つ以上のタグを追加または上書きするアクセス許可を付与します。イメージビルダー、イメージ、フリート、およびスタックのリソースをタグ付けすることができます。 タグ付け

fleet

image

image-builder

stack

aws:RequestTag/${TagKey}

aws:TagKeys

aws:ResourceTag/${TagKey}

UntagResource 指定した AppStream 2.0 リソースから 1 つ以上のタグの関連付けを解除するアクセス許可を付与します。 タグ付け

fleet

image

image-builder

stack

aws:TagKeys

UpdateDirectoryConfig AppStream 2.0 で指定した Directory Config オブジェクトを更新するアクセス許可を付与します。このオブジェクトには、フリートおよび Image Builder を Microsoft Active Directory ドメインに参加させるために必要な設定情報が含まれます。 書き込み
UpdateFleet 指定したフリートを更新するアクセス許可を付与します。フリートが停止状態である場合、フリート名を除くすべての属性を更新することができます。 書き込み

fleet*

image

aws:ResourceTag/${TagKey}

UpdateImagePermissions 指定したプライベートイメージのアクセス許可を追加または更新するアクセス許可を付与します。 書き込み

image*

aws:ResourceTag/${TagKey}

UpdateStack 指定したスタックに対して指定したフィールドを更新するアクセス許可を付与します。 書き込み

stack*

aws:ResourceTag/${TagKey}

Amazon AppStream 2.0 で定義されるリソースタイプ

以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource 要素で使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ ARN 条件キー
fleet arn:${Partition}:appstream:${Region}:${Account}:fleet/${FleetName}

aws:ResourceTag/${TagKey}

image arn:${Partition}:appstream:${Region}:${Account}:image/${ImageName}

aws:ResourceTag/${TagKey}

image-builder arn:${Partition}:appstream:${Region}:${Account}:image-builder/${ImageBuilderName}

aws:ResourceTag/${TagKey}

stack arn:${Partition}:appstream:${Region}:${Account}:stack/${StackName}

aws:ResourceTag/${TagKey}

Amazon AppStream 2.0 の条件キー

Amazon AppStream 2.0 では、IAM ポリシーの Condition 要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、使用できるグローバル条件キーを参照してください。

条件キー 説明 タイプ
appstream:userId AppStream 2.0 ユーザーの ID によってアクセスをフィルタリングします。 文字列
aws:RequestTag/${TagKey} リクエスト内のタグキーと値のペアのプレゼンスに基づいてアクションをフィルタリングします 文字列
aws:ResourceTag/${TagKey} リソースにアタッチされているタグキーと値のペアに基づいてアクションをフィルタリングします 文字列
aws:TagKeys リクエスト内のタグキーのプレゼンスに基づいてアクションをフィルタリングします 文字列