Amazon AppStream 2.0 のアクション、リソース、および条件キー - サービス認可リファレンス

Amazon AppStream 2.0 のアクション、リソース、および条件キー

Amazon AppStream 2.0 (サービスプレフィックス: appstream) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

参照:

Amazon AppStream 2.0 で定義されるアクション

IAM ポリシーステートメントの Action エレメントでは、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource 要素でリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN またはパターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。

[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition 要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。

注記

リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
AssociateAppBlockBuilderAppBlock 指定された App Block ビルダー を App Block に関連付けるアクセス許可を付与します 書き込み

app-block*

app-block-builder*

aws:ResourceTag/${TagKey}

AssociateApplicationFleet 指定しアプリケーションをフリートに関連付けるアクセス許可を付与します。 書き込み

application*

fleet*

aws:ResourceTag/${TagKey}

AssociateApplicationToEntitlement 指定したアプリケーションを指定した使用権限管理に関連付ける許可を付与 書き込み

stack*

AssociateFleet 指定したフリートを指定したスタックに関連付けるアクセス許可を付与します。 Write

fleet*

stack*

aws:ResourceTag/${TagKey}

BatchAssociateUserStack 指定したユーザーを指定したスタックに関連付けるアクセス許可を付与します。ユーザープール内のユーザーは、Active Directory ドメインに参加しているフリートを持つスタックに割り当てることはできません。 Write

stack*

aws:ResourceTag/${TagKey}

BatchDisassociateUserStack 指定したスタックから指定したユーザーの関連付けを解除する許可を付与。 Write

stack*

aws:ResourceTag/${TagKey}

CopyImage 同じリージョン内で指定されたイメージをコピーするか、同じ AWS アカウント 内の新しいリージョンにイメージをコピーする許可を付与する 書き込み

image*

aws:ResourceTag/${TagKey}

CreateAppBlock App Block を作成する権限を付与します。アプリケーションブロック は、S3 バケット内のアプリケーションのファイルを含む仮想ハードディスクに関する詳細を格納します。また、仮想ハードディスクのマウント方法に関する詳細を含むセットアップスクリプトも格納されます。アプリケーションブロックは Elastic フリートでのみサポートされます。 書き込み

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

aws:TagKeys

CreateAppBlockBuilder App Block ビルダーを作成するアクセス許可を付与します。App Block ビルダーは、App Block の作成に使用される仮想マシンです 書き込み

app-block-builder*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateAppBlockBuilderStreamingURL App Block ビルダーストリーミングセッションを開始するための URL を作成するアクセス許可を付与します 書き込み

app-block-builder*

aws:ResourceTag/${TagKey}

CreateApplication カスタマーアカウント内でアプリケーションを作成するアクセス許可を付与します。アプリケーションには、ストリーミングインスタンスでアプリケーションを起動する方法の詳細が保存されます。これは Elastic フリートでのみサポートされています。 書き込み

app-block*

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

aws:TagKeys

CreateDirectoryConfig AppStream 2.0 で Directory Config オブジェクトを作成する許可を付与。このオブジェクトには、フリートおよび Image Builder を Microsoft Active Directory ドメインに参加させるために必要な設定情報が含まれます。 書き込み
CreateEntitlement ユーザー属性に基づいてアプリケーションへのアクセスを制御する使用権限管理を作成する許可を付与 書き込み

stack*

CreateFleet フリートを作成する許可を付与。フリートはストリーミングインスタンスのグループで、ここからアプリケーションが実行され、ユーザーにストリーミングされます。 Write

fleet*

image

aws:RequestTag/${TagKey}

aws:TagKeys

CreateImageBuilder Image Builder を作成する許可を付与。Image Builder は、イメージの作成に使用される仮想マシンです。 Write

image*

image-builder*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateImageBuilderStreamingURL イメージビルダーストリーミングセッションを開始するための URL を作成する許可を付与。 Write

image-builder*

aws:ResourceTag/${TagKey}

CreateStack ユーザーに対してストリーミングアプリケーションを開始するためのスタックを作成する許可を付与。スタックは、関連付けられたフリート、ユーザーアクセスポリシー、ストレージ設定で構成されます。 Write

stack*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateStreamingURL 指定したユーザーに対して AppStream 2.0 ストリーミングセッションを開始するための一時的な URL を作成する許可を付与。ストリーミング URL により、ユーザーのセットアップなしでアプリケーションのストリーミングをテストすることができます。 書き込み

fleet*

stack*

aws:ResourceTag/${TagKey}

CreateThemeForStack ユーザーに表示するカスタムロゴ、ウェブサイトリンク、その他のブランドを含むカスタムブランドテーマを作成する許可を付与する 書き込み

stack*

CreateUpdatedImage カスタマーアカウント内の既存のイメージを更新する許可を付与 書き込み

image*

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

aws:TagKeys

CreateUsageReportSubscription 使用状況レポートのサブスクリプションを作成する許可を付与。使用状況レポートは毎日生成されます。 Write
CreateUser ユーザープールに新しいユーザーを作成する許可を付与。 書き込み
DeleteAppBlock 指定された App Block を削除する許可を付与します。 書き込み

app-block*

aws:ResourceTag/${TagKey}

DeleteAppBlockBuilder 指定された App Block ビルダーとリリース容量を削除するアクセス許可を付与します 書き込み

app-block-builder*

aws:ResourceTag/${TagKey}

DeleteApplication 指定されたアプリケーションを削除する許可を付与 書き込み

application*

aws:ResourceTag/${TagKey}

DeleteDirectoryConfig 指定した Directory Config オブジェクトを AppStream 2.0 から削除する許可を付与。このオブジェクトには、フリートおよび Image Builder を Microsoft Active Directory ドメインに参加させるために必要な設定情報が含まれます。 書き込み
DeleteEntitlement 指定した使用権限管理を削除する許可を付与 書き込み

stack*

DeleteFleet 指定したフリートを削除する許可を付与。 Write

fleet*

aws:ResourceTag/${TagKey}

DeleteImage 指定したイメージを削除する許可を付与。イメージは、使用中の場合は削除できません。 Write

image*

aws:ResourceTag/${TagKey}

DeleteImageBuilder 指定した Image Builder を削除して容量を解放するアクセス権限を付与します。 Write

image-builder*

aws:ResourceTag/${TagKey}

DeleteImagePermissions 指定したプライベートイメージのアクセス許可を削除する許可を付与。 Write

image*

aws:ResourceTag/${TagKey}

DeleteStack 指定したスタックを削除する許可を付与。スタックの削除後、ユーザーは、スタックによって提供されたアプリケーションストリーミング環境を利用できなくなります。また、スタックのアプリケーションストリーミングセッションに行われたすべての予約も解放されます。 書き込み

stack*

aws:ResourceTag/${TagKey}

DeleteThemeForStack ユーザーに表示するカスタムロゴ、ウェブサイトリンク、その他のブランドを含むカスタムブランドテーマを削除する許可を付与する 書き込み

stack*

DeleteUsageReportSubscription 使用状況レポートの生成を無効にする許可を付与。 Write
DeleteUser ユーザープールからユーザーを削除する許可を付与。 書き込み
DescribeAppBlockBuilderAppBlockAssociations 指定された App Block ビルダーもしくは App Block に関連付けられている関連付けを取得するアクセス許可を付与します 読み取り

app-block

app-block-builder

DescribeAppBlockBuilders App Block ビルダー名が設定されている場合、1 つ以上の指定された App Block ビルダーを記述するリストを取得するアクセス許可を付与します。それ以外の場合は、アカウントのすべての App Block ビルダーが記述されます 読み取り

app-block-builder

DescribeAppBlocks App Block が設定されている場合、1 つ以上の指定した App Block を記述するリストを取得する許可を付与します。それ以外の場合は、アカウントのすべてのアプリケーションブロックが記述されます。 読み取り

app-block

DescribeApplicationFleetAssociations 指定されたアプリケーションもしくはフリートに関連付けられている関連付けを取得するアクセス許可を付与します。 読み取り

application

fleet

DescribeApplications アプリケーション ARN が設定されている場合、1 つ以上の指定したイメージを記述するリストを取得する許可を付与します。それ以外の場合は、アカウントのすべてのAccountingが記述されます。 読み取り

application

DescribeDirectoryConfigs AppStream 2.0 の 1 つ以上の指定した Directory Config オブジェクトの名前が設定されている場合、それらのオブジェクトを記述するリストを取得する許可を付与。それ以外の場合は、アカウントのすべての Directory Config オブジェクトが記述されます。このオブジェクトには、フリートおよび Image Builder を Microsoft Active Directory ドメインに参加させるために必要な設定情報が含まれます。 読み取り
DescribeEntitlements 指定したスタックの 1 つまたはすべての使用権限管理を取得する許可を付与 読み取り

stack*

DescribeFleets フリート名が設定されている場合、1 つ以上の指定したフリートを記述するリストを取得する許可を付与。それ以外の場合は、アカウントのすべてのフリートが記述されます。 Read

fleet

DescribeImageBuilders イメージビルダー名が設定されている場合、1 つ以上の指定したイメージビルダーを記述するリストを取得する許可を付与。それ以外の場合は、アカウントのすべてのイメージビルダーが記述されます。 Read

image-builder

DescribeImagePermissions 所有しているプライベートイメージでの共有 AWS アカウント ID の許可を記述するリストを取得する許可を付与する Read

image*

DescribeImages イメージ名またはイメージ ARN が設定されている場合、1 つ以上の指定したイメージを記述するリストを取得する許可を付与。それ以外の場合は、アカウントのすべてのイメージが記述されます。 Read

image

DescribeSessions 指定したスタックおよびフリートのストリーミングセッションを記述するリストを取得する許可を付与。スタックとフリートに対してユーザー ID が設定されている場合は、そのユーザーのストリーミングセッションのみが記述されます。 Read

fleet*

stack*

DescribeStacks スタック名が設定されている場合、1 つ以上の指定したスタックを記述するリストを取得する許可を付与。それ以外の場合は、アカウントのすべてのスタックが記述されます。 読み取り

stack

DescribeThemeForStack ユーザーに表示するカスタムロゴ、ウェブサイトリンク、その他のブランドなど、カスタムブランドテーマ情報を取得する許可を付与する 読み取り

stack*

DescribeUsageReportSubscriptions 1 つ以上の使用状況レポートのサブスクリプションを記述するリストを取得する許可を付与。 Read
DescribeUserStackAssociations UserStackAssociation オブジェクトを記述するリストを取得する許可を付与。 Read

stack

DescribeUsers ユーザープール内のユーザーを記述するリストを取得する許可を付与。 Read
DisableUser ユーザープールで指定したユーザーを無効にする許可を付与。このアクションによりユーザーは削除されません。 書き込み
DisassociateAppBlockBuilderAppBlock 指定された App Block ビルダーと App Block の関連付けを解除するアクセス許可を付与します 書き込み

app-block*

app-block-builder*

aws:ResourceTag/${TagKey}

DisassociateApplicationFleet 指定したフリートから指定したアプリケーションの関連付けを解除する許可を付与します。 書き込み

application*

fleet*

aws:ResourceTag/${TagKey}

DisassociateApplicationFromEntitlement 指定した使用権限管理から指定したアプリケーションの関連付けを解除する許可を付与 書き込み

stack*

DisassociateFleet 指定したスタックから指定したフリートの関連付けを解除する許可を付与。 Write

fleet*

stack*

aws:ResourceTag/${TagKey}

EnableUser ユーザープールのユーザーを有効にする許可を付与。 Write
ExpireSession 指定したストリーミングセッションをすぐに停止する許可を付与。 Write
ListAssociatedFleets 指定したスタックに関連付けられているフリートの名前を取得する許可を付与。 Read

stack*

ListAssociatedStacks 指定したフリートが関連付けられているスタックの名前を取得する許可を付与。 読み取り

fleet*

ListEntitledApplications 指定した使用権限管理に関連付けられているアプリケーションを取得する許可を付与 リスト

stack*

ListTagsForResource 指定した AppStream 2.0 リソースのすべてのタグのリストを取得するアクセス権限を付与します。イメージビルダー、イメージ、フリート、およびスタックのリソースをタグ付けすることができます。 読み取り
StartAppBlockBuilder 指定された App Block ビルダーを開始するアクセス許可を付与します 書き込み

app-block-builder*

aws:ResourceTag/${TagKey}

StartFleet 指定されたフリートを開始する許可を付与。 Write

fleet*

aws:ResourceTag/${TagKey}

StartImageBuilder 指定したイメージビルダーを開始する許可を付与。 書き込み

image-builder*

aws:ResourceTag/${TagKey}

StopAppBlockBuilder 指定された App Block ビルダーを中止するアクセス許可を付与します 書き込み

app-block-builder*

aws:ResourceTag/${TagKey}

StopFleet 指定したフリートを停止する許可を付与。 Write

fleet*

aws:ResourceTag/${TagKey}

StopImageBuilder 指定したイメージビルダーを停止するアクセス権限を付与します。 Write

image-builder*

aws:ResourceTag/${TagKey}

Stream 指定したスタックから既存の認証情報およびストリームアプリケーションを使用してサインインするアクセス許可をフェデレーティッドユーザーに付与します。 Write

stack*

appstream:userId

TagResource 指定した AppStream 2.0 リソースの 1 つ以上のタグを追加または上書きする許可を付与。以下のリソースがタグ付けされます:イメージビルダー、イメージ、フリート、スタック、アプリケーションブロックおよびアプリケーション。 タグ付け

app-block

app-block-builder

application

fleet

image

image-builder

stack

aws:RequestTag/${TagKey}

aws:TagKeys

aws:ResourceTag/${TagKey}

UntagResource 指定した AppStream 2.0 リソースから 1 つ以上のタグの関連付けを解除する許可を付与。 タグ付け

app-block

app-block-builder

application

fleet

image

image-builder

stack

aws:TagKeys

UpdateAppBlockBuilder 指定された App Block ビルダーを更新するアクセス許可を付与します。App Block ビルダーは、App Block の作成に使用される仮想マシンです 書き込み

app-block-builder*

aws:ResourceTag/${TagKey}

UpdateApplication 指定したアプリケーションに対して指定したフィールドを更新する許可を付与します。 書き込み

application*

app-block

aws:ResourceTag/${TagKey}

UpdateDirectoryConfig AppStream 2.0 で指定した Directory Config オブジェクトを更新する許可を付与。このオブジェクトには、フリートおよび Image Builder を Microsoft Active Directory ドメインに参加させるために必要な設定情報が含まれます。 書き込み
UpdateEntitlement 指定した使用権限管理の指定したフィールドを更新する許可を付与 書き込み

stack*

UpdateFleet 指定したフリートを更新する許可を付与。フリートが停止状態である場合、フリート名を除くすべての属性を更新することができます。 Write

fleet*

image

aws:ResourceTag/${TagKey}

UpdateImagePermissions 指定したプライベートイメージのアクセス許可を追加または更新する許可を付与。 Write

image*

aws:ResourceTag/${TagKey}

UpdateStack 指定したスタックに対して指定したフィールドを更新する許可を付与。 書き込み

stack*

aws:ResourceTag/${TagKey}

UpdateThemeForStack ユーザーに表示するカスタムロゴ、ウェブサイトリンク、その他のブランドなど、カスタムブランドテーマ情報を更新する許可を付与する 書き込み

stack*

Amazon AppStream 2.0 で定義されるリソースタイプ

以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource エレメントで使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ ARN 条件キー
fleet arn:${Partition}:appstream:${Region}:${Account}:fleet/${FleetName}

aws:ResourceTag/${TagKey}

image arn:${Partition}:appstream:${Region}:${Account}:image/${ImageName}

aws:ResourceTag/${TagKey}

image-builder arn:${Partition}:appstream:${Region}:${Account}:image-builder/${ImageBuilderName}

aws:ResourceTag/${TagKey}

stack arn:${Partition}:appstream:${Region}:${Account}:stack/${StackName}

aws:ResourceTag/${TagKey}

app-block arn:${Partition}:appstream:${Region}:${Account}:app-block/${AppBlockName}

aws:ResourceTag/${TagKey}

application arn:${Partition}:appstream:${Region}:${Account}:application/${ApplicationName}

aws:ResourceTag/${TagKey}

app-block-builder arn:${Partition}:appstream:${Region}:${Account}:app-block-builder/${AppBlockBuilderName}

aws:ResourceTag/${TagKey}

Amazon AppStream 2.0 の条件キー

Amazon AppStream 2.0 では、IAM ポリシーの Condition 要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、「使用できるグローバル条件キー」を参照してください。

条件キー 説明 タイプ
appstream:userId AppStream 2.0 ユーザーの ID によってアクセスをフィルタリングします。 文字列
aws:RequestTag/${TagKey} リクエスト内のタグキーおよび値のペアのプレゼンスによってアクションをフィルタリングします 文字列
aws:ResourceTag/${TagKey} リソースにアタッチされているタグのキーと値のペアでアクセスをフィルタリングします 文字列
aws:TagKeys リクエスト内のタグキーが存在するかどうかでアクセスをフィルタリングします ArrayOfString