Amazon AppStream 2.0 のアクション、リソース、および条件キー
Amazon AppStream 2.0 (サービスプレフィックス: appstream
) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。
参照:
-
このサービスを設定する方法について説明します。
-
このサービスで使用可能な API オペレーションのリストを表示します。
-
IAM アクセス許可ポリシーを使用して、このサービスとそのリソースを保護する方法を学びます。
Amazon AppStream 2.0 で定義されるアクション
IAM ポリシーステートメントの Action
エレメントでは、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。
[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource
要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource
要素でリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN またはパターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。
[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition
要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。
注記
リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。
以下の表の列の詳細については、「アクションテーブル」を参照してください。
アクション | 説明 | アクセスレベル | リソースタイプ (* 必須) | 条件キー | 依存アクション |
---|---|---|---|---|---|
AssociateAppBlockBuilderAppBlock | 指定された App Block ビルダー を App Block に関連付けるアクセス許可を付与します | 書き込み | |||
AssociateApplicationFleet | 指定しアプリケーションをフリートに関連付けるアクセス許可を付与します。 | 書き込み | |||
AssociateApplicationToEntitlement | 指定したアプリケーションを指定した使用権限管理に関連付ける許可を付与 | 書き込み | |||
AssociateFleet | 指定したフリートを指定したスタックに関連付けるアクセス許可を付与します。 | Write | |||
BatchAssociateUserStack | 指定したユーザーを指定したスタックに関連付けるアクセス許可を付与します。ユーザープール内のユーザーは、Active Directory ドメインに参加しているフリートを持つスタックに割り当てることはできません。 | Write | |||
BatchDisassociateUserStack | 指定したスタックから指定したユーザーの関連付けを解除する許可を付与。 | Write | |||
CopyImage | 同じリージョン内で指定されたイメージをコピーするか、同じ AWS アカウント 内の新しいリージョンにイメージをコピーする許可を付与する | 書き込み | |||
CreateAppBlock | App Block を作成する権限を付与します。アプリケーションブロック は、S3 バケット内のアプリケーションのファイルを含む仮想ハードディスクに関する詳細を格納します。また、仮想ハードディスクのマウント方法に関する詳細を含むセットアップスクリプトも格納されます。アプリケーションブロックは Elastic フリートでのみサポートされます。 | 書き込み | |||
CreateAppBlockBuilder | App Block ビルダーを作成するアクセス許可を付与します。App Block ビルダーは、App Block の作成に使用される仮想マシンです | 書き込み | |||
CreateAppBlockBuilderStreamingURL | App Block ビルダーストリーミングセッションを開始するための URL を作成するアクセス許可を付与します | 書き込み | |||
CreateApplication | カスタマーアカウント内でアプリケーションを作成するアクセス許可を付与します。アプリケーションには、ストリーミングインスタンスでアプリケーションを起動する方法の詳細が保存されます。これは Elastic フリートでのみサポートされています。 | 書き込み | |||
CreateDirectoryConfig | AppStream 2.0 で Directory Config オブジェクトを作成する許可を付与。このオブジェクトには、フリートおよび Image Builder を Microsoft Active Directory ドメインに参加させるために必要な設定情報が含まれます。 | 書き込み | |||
CreateEntitlement | ユーザー属性に基づいてアプリケーションへのアクセスを制御する使用権限管理を作成する許可を付与 | 書き込み | |||
CreateFleet | フリートを作成する許可を付与。フリートはストリーミングインスタンスのグループで、ここからアプリケーションが実行され、ユーザーにストリーミングされます。 | Write | |||
CreateImageBuilder | Image Builder を作成する許可を付与。Image Builder は、イメージの作成に使用される仮想マシンです。 | Write | |||
CreateImageBuilderStreamingURL | イメージビルダーストリーミングセッションを開始するための URL を作成する許可を付与。 | Write | |||
CreateStack | ユーザーに対してストリーミングアプリケーションを開始するためのスタックを作成する許可を付与。スタックは、関連付けられたフリート、ユーザーアクセスポリシー、ストレージ設定で構成されます。 | Write | |||
CreateStreamingURL | 指定したユーザーに対して AppStream 2.0 ストリーミングセッションを開始するための一時的な URL を作成する許可を付与。ストリーミング URL により、ユーザーのセットアップなしでアプリケーションのストリーミングをテストすることができます。 | 書き込み | |||
CreateThemeForStack | ユーザーに表示するカスタムロゴ、ウェブサイトリンク、その他のブランドを含むカスタムブランドテーマを作成する許可を付与する | 書き込み | |||
CreateUpdatedImage | カスタマーアカウント内の既存のイメージを更新する許可を付与 | 書き込み | |||
CreateUsageReportSubscription | 使用状況レポートのサブスクリプションを作成する許可を付与。使用状況レポートは毎日生成されます。 | Write | |||
CreateUser | ユーザープールに新しいユーザーを作成する許可を付与。 | 書き込み | |||
DeleteAppBlock | 指定された App Block を削除する許可を付与します。 | 書き込み | |||
DeleteAppBlockBuilder | 指定された App Block ビルダーとリリース容量を削除するアクセス許可を付与します | 書き込み | |||
DeleteApplication | 指定されたアプリケーションを削除する許可を付与 | 書き込み | |||
DeleteDirectoryConfig | 指定した Directory Config オブジェクトを AppStream 2.0 から削除する許可を付与。このオブジェクトには、フリートおよび Image Builder を Microsoft Active Directory ドメインに参加させるために必要な設定情報が含まれます。 | 書き込み | |||
DeleteEntitlement | 指定した使用権限管理を削除する許可を付与 | 書き込み | |||
DeleteFleet | 指定したフリートを削除する許可を付与。 | Write | |||
DeleteImage | 指定したイメージを削除する許可を付与。イメージは、使用中の場合は削除できません。 | Write | |||
DeleteImageBuilder | 指定した Image Builder を削除して容量を解放するアクセス権限を付与します。 | Write | |||
DeleteImagePermissions | 指定したプライベートイメージのアクセス許可を削除する許可を付与。 | Write | |||
DeleteStack | 指定したスタックを削除する許可を付与。スタックの削除後、ユーザーは、スタックによって提供されたアプリケーションストリーミング環境を利用できなくなります。また、スタックのアプリケーションストリーミングセッションに行われたすべての予約も解放されます。 | 書き込み | |||
DeleteThemeForStack | ユーザーに表示するカスタムロゴ、ウェブサイトリンク、その他のブランドを含むカスタムブランドテーマを削除する許可を付与する | 書き込み | |||
DeleteUsageReportSubscription | 使用状況レポートの生成を無効にする許可を付与。 | Write | |||
DeleteUser | ユーザープールからユーザーを削除する許可を付与。 | 書き込み | |||
DescribeAppBlockBuilderAppBlockAssociations | 指定された App Block ビルダーもしくは App Block に関連付けられている関連付けを取得するアクセス許可を付与します | 読み取り | |||
DescribeAppBlockBuilders | App Block ビルダー名が設定されている場合、1 つ以上の指定された App Block ビルダーを記述するリストを取得するアクセス許可を付与します。それ以外の場合は、アカウントのすべての App Block ビルダーが記述されます | 読み取り | |||
DescribeAppBlocks | App Block が設定されている場合、1 つ以上の指定した App Block を記述するリストを取得する許可を付与します。それ以外の場合は、アカウントのすべてのアプリケーションブロックが記述されます。 | 読み取り | |||
DescribeApplicationFleetAssociations | 指定されたアプリケーションもしくはフリートに関連付けられている関連付けを取得するアクセス許可を付与します。 | 読み取り | |||
DescribeApplications | アプリケーション ARN が設定されている場合、1 つ以上の指定したイメージを記述するリストを取得する許可を付与します。それ以外の場合は、アカウントのすべてのAccountingが記述されます。 | 読み取り | |||
DescribeDirectoryConfigs | AppStream 2.0 の 1 つ以上の指定した Directory Config オブジェクトの名前が設定されている場合、それらのオブジェクトを記述するリストを取得する許可を付与。それ以外の場合は、アカウントのすべての Directory Config オブジェクトが記述されます。このオブジェクトには、フリートおよび Image Builder を Microsoft Active Directory ドメインに参加させるために必要な設定情報が含まれます。 | 読み取り | |||
DescribeEntitlements | 指定したスタックの 1 つまたはすべての使用権限管理を取得する許可を付与 | 読み取り | |||
DescribeFleets | フリート名が設定されている場合、1 つ以上の指定したフリートを記述するリストを取得する許可を付与。それ以外の場合は、アカウントのすべてのフリートが記述されます。 | Read | |||
DescribeImageBuilders | イメージビルダー名が設定されている場合、1 つ以上の指定したイメージビルダーを記述するリストを取得する許可を付与。それ以外の場合は、アカウントのすべてのイメージビルダーが記述されます。 | Read | |||
DescribeImagePermissions | 所有しているプライベートイメージでの共有 AWS アカウント ID の許可を記述するリストを取得する許可を付与する | Read | |||
DescribeImages | イメージ名またはイメージ ARN が設定されている場合、1 つ以上の指定したイメージを記述するリストを取得する許可を付与。それ以外の場合は、アカウントのすべてのイメージが記述されます。 | Read | |||
DescribeSessions | 指定したスタックおよびフリートのストリーミングセッションを記述するリストを取得する許可を付与。スタックとフリートに対してユーザー ID が設定されている場合は、そのユーザーのストリーミングセッションのみが記述されます。 | Read | |||
DescribeStacks | スタック名が設定されている場合、1 つ以上の指定したスタックを記述するリストを取得する許可を付与。それ以外の場合は、アカウントのすべてのスタックが記述されます。 | 読み取り | |||
DescribeThemeForStack | ユーザーに表示するカスタムロゴ、ウェブサイトリンク、その他のブランドなど、カスタムブランドテーマ情報を取得する許可を付与する | 読み取り | |||
DescribeUsageReportSubscriptions | 1 つ以上の使用状況レポートのサブスクリプションを記述するリストを取得する許可を付与。 | Read | |||
DescribeUserStackAssociations | UserStackAssociation オブジェクトを記述するリストを取得する許可を付与。 | Read | |||
DescribeUsers | ユーザープール内のユーザーを記述するリストを取得する許可を付与。 | Read | |||
DisableUser | ユーザープールで指定したユーザーを無効にする許可を付与。このアクションによりユーザーは削除されません。 | 書き込み | |||
DisassociateAppBlockBuilderAppBlock | 指定された App Block ビルダーと App Block の関連付けを解除するアクセス許可を付与します | 書き込み | |||
DisassociateApplicationFleet | 指定したフリートから指定したアプリケーションの関連付けを解除する許可を付与します。 | 書き込み | |||
DisassociateApplicationFromEntitlement | 指定した使用権限管理から指定したアプリケーションの関連付けを解除する許可を付与 | 書き込み | |||
DisassociateFleet | 指定したスタックから指定したフリートの関連付けを解除する許可を付与。 | Write | |||
EnableUser | ユーザープールのユーザーを有効にする許可を付与。 | Write | |||
ExpireSession | 指定したストリーミングセッションをすぐに停止する許可を付与。 | Write | |||
ListAssociatedFleets | 指定したスタックに関連付けられているフリートの名前を取得する許可を付与。 | Read | |||
ListAssociatedStacks | 指定したフリートが関連付けられているスタックの名前を取得する許可を付与。 | 読み取り | |||
ListEntitledApplications | 指定した使用権限管理に関連付けられているアプリケーションを取得する許可を付与 | リスト | |||
ListTagsForResource | 指定した AppStream 2.0 リソースのすべてのタグのリストを取得するアクセス権限を付与します。イメージビルダー、イメージ、フリート、およびスタックのリソースをタグ付けすることができます。 | 読み取り | |||
StartAppBlockBuilder | 指定された App Block ビルダーを開始するアクセス許可を付与します | 書き込み | |||
StartFleet | 指定されたフリートを開始する許可を付与。 | Write | |||
StartImageBuilder | 指定したイメージビルダーを開始する許可を付与。 | 書き込み | |||
StopAppBlockBuilder | 指定された App Block ビルダーを中止するアクセス許可を付与します | 書き込み | |||
StopFleet | 指定したフリートを停止する許可を付与。 | Write | |||
StopImageBuilder | 指定したイメージビルダーを停止するアクセス権限を付与します。 | Write | |||
Stream | 指定したスタックから既存の認証情報およびストリームアプリケーションを使用してサインインするアクセス許可をフェデレーティッドユーザーに付与します。 | Write | |||
TagResource | 指定した AppStream 2.0 リソースの 1 つ以上のタグを追加または上書きする許可を付与。以下のリソースがタグ付けされます:イメージビルダー、イメージ、フリート、スタック、アプリケーションブロックおよびアプリケーション。 | タグ付け | |||
UntagResource | 指定した AppStream 2.0 リソースから 1 つ以上のタグの関連付けを解除する許可を付与。 | タグ付け | |||
UpdateAppBlockBuilder | 指定された App Block ビルダーを更新するアクセス許可を付与します。App Block ビルダーは、App Block の作成に使用される仮想マシンです | 書き込み | |||
UpdateApplication | 指定したアプリケーションに対して指定したフィールドを更新する許可を付与します。 | 書き込み | |||
UpdateDirectoryConfig | AppStream 2.0 で指定した Directory Config オブジェクトを更新する許可を付与。このオブジェクトには、フリートおよび Image Builder を Microsoft Active Directory ドメインに参加させるために必要な設定情報が含まれます。 | 書き込み | |||
UpdateEntitlement | 指定した使用権限管理の指定したフィールドを更新する許可を付与 | 書き込み | |||
UpdateFleet | 指定したフリートを更新する許可を付与。フリートが停止状態である場合、フリート名を除くすべての属性を更新することができます。 | Write | |||
UpdateImagePermissions | 指定したプライベートイメージのアクセス許可を追加または更新する許可を付与。 | Write | |||
UpdateStack | 指定したスタックに対して指定したフィールドを更新する許可を付与。 | 書き込み | |||
UpdateThemeForStack | ユーザーに表示するカスタムロゴ、ウェブサイトリンク、その他のブランドなど、カスタムブランドテーマ情報を更新する許可を付与する | 書き込み |
Amazon AppStream 2.0 で定義されるリソースタイプ
以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource
エレメントで使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。
リソースタイプ | ARN | 条件キー |
---|---|---|
fleet |
arn:${Partition}:appstream:${Region}:${Account}:fleet/${FleetName}
|
|
image |
arn:${Partition}:appstream:${Region}:${Account}:image/${ImageName}
|
|
image-builder |
arn:${Partition}:appstream:${Region}:${Account}:image-builder/${ImageBuilderName}
|
|
stack |
arn:${Partition}:appstream:${Region}:${Account}:stack/${StackName}
|
|
app-block |
arn:${Partition}:appstream:${Region}:${Account}:app-block/${AppBlockName}
|
|
application |
arn:${Partition}:appstream:${Region}:${Account}:application/${ApplicationName}
|
|
app-block-builder |
arn:${Partition}:appstream:${Region}:${Account}:app-block-builder/${AppBlockBuilderName}
|
Amazon AppStream 2.0 の条件キー
Amazon AppStream 2.0 では、IAM ポリシーの Condition
要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。
すべてのサービスで使用できるグローバル条件キーを確認するには、「使用できるグローバル条件キー」を参照してください。
条件キー | 説明 | タイプ |
---|---|---|
appstream:userId | AppStream 2.0 ユーザーの ID によってアクセスをフィルタリングします。 | 文字列 |
aws:RequestTag/${TagKey} | リクエスト内のタグキーおよび値のペアのプレゼンスによってアクションをフィルタリングします | 文字列 |
aws:ResourceTag/${TagKey} | リソースにアタッチされているタグのキーと値のペアでアクセスをフィルタリングします | 文字列 |
aws:TagKeys | リクエスト内のタグキーが存在するかどうかでアクセスをフィルタリングします | ArrayOfString |