Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# AWS verwaltete Richtlinien für WorkSpaces Secure Browser
Um Benutzern, Gruppen und Rollen Berechtigungen hinzuzufügen, ist es einfacher, AWS verwaltete Richtlinien zu verwenden, als Richtlinien selbst zu schreiben. Es erfordert Zeit und Fachwissen, um [von Kunden verwaltete IAM-Richtlinien zu erstellen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html), die Ihrem Team nur die benötigten Berechtigungen bieten. Um schnell loszulegen, können Sie unsere AWS verwalteten Richtlinien verwenden. Diese Richtlinien decken allgemeine Anwendungsfälle ab und sind in Ihrem AWS Konto verfügbar. Weitere Informationen zu AWS verwalteten Richtlinien finden Sie unter [AWS Verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.
AWS Dienste verwalten und aktualisieren AWS verwaltete Richtlinien. Sie können die Berechtigungen in AWS verwalteten Richtlinien nicht ändern. Dienste können einer AWS verwalteten Richtlinie gelegentlich zusätzliche Berechtigungen hinzufügen, um neue Funktionen zu unterstützen. Diese Art von Update betrifft alle Identitäten (Benutzer, Gruppen und Rollen), an welche die Richtlinie angehängt ist. Services aktualisieren eine von AWS verwaltete Richtlinie am ehesten, ein neues Feature gestartet wird oder neue Vorgänge verfügbar werden. Dienste entfernen keine Berechtigungen aus einer AWS verwalteten Richtlinie, sodass durch Richtlinienaktualisierungen Ihre bestehenden Berechtigungen nicht beeinträchtigt werden.
AWS Unterstützt außerdem verwaltete Richtlinien für Jobfunktionen, die sich über mehrere Dienste erstrecken. Die `ReadOnlyAccess` AWS verwaltete Richtlinie bietet beispielsweise schreibgeschützten Zugriff auf alle AWS Dienste und Ressourcen. Wenn ein Dienst eine neue Funktion startet, werden nur Leseberechtigungen für neue Operationen und Ressourcen AWS hinzugefügt. Eine Liste und Beschreibungen der Richtlinien für Auftragsfunktionen finden Sie in [Verwaltete AWS -Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Leitfaden*.
**Topics**
+ [AWS verwaltete Richtlinie: AmazonWorkSpacesWebServiceRolePolicy](security-iam-awsmanpol-AmazonWorkSpacesWebServiceRolePolicy.md)
+ [AWS verwaltete Richtlinie: AmazonWorkSpacesSecureBrowserReadOnly](security-iam-awsmanpol-AmazonWorkSpacesSecureBrowserReadOnly.md)
+ [AWS verwaltete Richtlinie: AmazonWorkSpacesWebReadOnly](security-iam-awsmanpol-AmazonWorkSpacesWebReadOnly.md)
+ [WorkSpaces Secure Browser-Updates für AWS verwaltete Richtlinien](security-iam-awsmanpol-updates.md)
# AWS verwaltete Richtlinie: AmazonWorkSpacesWebServiceRolePolicy
Sie können die `AmazonWorkSpacesWebServiceRolePolicy`-Richtlinie Ihren IAM-Entitäten nicht anfügen. Diese Richtlinie ist mit einer dienstbezogenen Rolle verknüpft, die es WorkSpaces Secure Browser ermöglicht, Aktionen in Ihrem Namen durchzuführen. Weitere Informationen finden Sie unter [Verwenden von serviceverknüpften Rollen für Amazon WorkSpaces Secure Browser](using-service-linked-roles.md).
Diese Richtlinie gewährt Administratorberechtigungen, die den Zugriff auf AWS Dienste und Ressourcen ermöglichen, die von WorkSpaces Secure Browser verwendet oder verwaltet werden.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen:
+ `workspaces-web`— Ermöglicht den Zugriff auf AWS Dienste und Ressourcen, die von WorkSpaces Secure Browser verwendet oder verwaltet werden.
+ `ec2`— Ermöglicht es Prinzipalen VPCs, Subnetze und Verfügbarkeitszonen zu beschreiben, Netzwerkschnittstellen zu erstellen, zu kennzeichnen, zu beschreiben und zu löschen, eine Adresse zuzuordnen oder zu trennen und Routentabellen, Sicherheitsgruppen und VPC-Endpunkte zu beschreiben.
+ `CloudWatch` – ermöglicht es Prinzipalen, Metrikdaten einzugeben.
+ `Kinesis` – ermöglicht es Prinzipalen, eine Zusammenfassung der Kinesis-Datenströme zu beschreiben und Datensätze zur Protokollierung von Benutzerzugriffen in Kinesis-Datenströmen abzulegen. Weitere Informationen finden Sie unter [Protokollierung von Benutzeraktivitäten im Amazon WorkSpaces Secure Browser einrichten](user-logging.md).
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeNetworkInterfaces",
"ec2:AssociateAddress",
"ec2:DisassociateAddress",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeVpcEndpoints"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws:ec2:*:*:subnet/*",
"arn:aws:ec2:*:*:security-group/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": "arn:aws:ec2:*:*:network-interface/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/WorkSpacesWebManaged": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:*:*:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateNetworkInterface"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"WorkSpacesWebManaged"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DeleteNetworkInterface"
],
"Resource": "arn:aws:ec2:*:*:network-interface/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/WorkSpacesWebManaged": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": [
"AWS/WorkSpacesWeb",
"AWS/Usage"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kinesis:PutRecord",
"kinesis:PutRecords",
"kinesis:DescribeStreamSummary"
],
"Resource": "arn:aws:kinesis:*:*:stream/amazon-workspaces-web-*"
}
]
}
```
# AWS verwaltete Richtlinie: AmazonWorkSpacesSecureBrowserReadOnly
Sie können die `AmazonWorkSpacesSecureBrowserReadOnly`-Richtlinie an Ihre IAM-Identitäten anfügen.
Diese Richtlinie gewährt nur Leseberechtigungen, die den Zugriff auf WorkSpaces Secure Browser und seine Abhängigkeiten über die AWS Management Console, das SDK und die CLI ermöglichen. Diese Richtlinie beinhaltet keine Berechtigungen, die für die Interaktion mit Portalen erforderlich sind, bei denen `IAM_Identity_Center` als Authentifizierungstyp verwendet wird. Wenn Sie diese Berechtigungen erhalten möchten, kombinieren Sie diese Richtlinie mit `AWSSSOReadOnly`.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `workspaces-web`— Bietet über die AWS Management Console, das SDK und die CLI schreibgeschützten Zugriff auf WorkSpaces Secure Browser und seine Abhängigkeiten.
+ `ec2`— Ermöglicht Prinzipalen die Beschreibung von Subnetzen VPCs und Sicherheitsgruppen. Dies wird in der AWS Management Console im WorkSpaces Secure Browser verwendet VPCs, um Ihnen Ihre Subnetze und Sicherheitsgruppen anzuzeigen, die für die Verwendung mit dem Dienst verfügbar sind.
+ `Kinesis` – ermöglicht Prinzipalen das Aufführen von Amazon-Kinesis-Datenströmen. Dies wird in der AWS Management Console im WorkSpaces Secure Browser verwendet, um Ihnen Kinesis-Datenstreams anzuzeigen, die für die Verwendung mit dem Service verfügbar sind.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"workspaces-web:GetBrowserSettings",
"workspaces-web:GetIdentityProvider",
"workspaces-web:GetNetworkSettings",
"workspaces-web:GetPortal",
"workspaces-web:GetPortalServiceProviderMetadata",
"workspaces-web:GetTrustStore",
"workspaces-web:GetTrustStoreCertificate",
"workspaces-web:GetUserSettings",
"workspaces-web:GetUserAccessLoggingSettings",
"workspaces-web:ListBrowserSettings",
"workspaces-web:ListIdentityProviders",
"workspaces-web:ListNetworkSettings",
"workspaces-web:ListPortals",
"workspaces-web:ListTagsForResource",
"workspaces-web:ListTrustStoreCertificates",
"workspaces-web:ListTrustStores",
"workspaces-web:ListUserSettings",
"workspaces-web:ListUserAccessLoggingSettings"
],
"Resource": "arn:aws:workspaces-web:*:*:*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"kinesis:ListStreams"
],
"Resource": "*"
}
]
}
```
# AWS verwaltete Richtlinie: AmazonWorkSpacesWebReadOnly
Sie können die `AmazonWorkSpacesWebReadOnly`-Richtlinie an Ihre IAM-Identitäten anfügen.
Diese Richtlinie gewährt nur Leseberechtigungen, die den Zugriff auf WorkSpaces Secure Browser und seine Abhängigkeiten über die AWS Management Console, das SDK und die CLI ermöglichen. Diese Richtlinie beinhaltet keine Berechtigungen, die für die Interaktion mit Portalen erforderlich sind, bei denen `IAM_Identity_Center` als Authentifizierungstyp verwendet wird. Wenn Sie diese Berechtigungen erhalten möchten, kombinieren Sie diese Richtlinie mit `AWSSSOReadOnly`.
**Anmerkung**
Wenn Sie diese Richtlinie derzeit verwenden, wechseln Sie zu der neuen `AmazonWorkSpacesSecureBrowserReadOnly` Richtlinie.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `workspaces-web`— Bietet über die AWS Management Console, das SDK und die CLI schreibgeschützten Zugriff auf WorkSpaces Secure Browser und seine Abhängigkeiten.
+ `ec2`— Ermöglicht Prinzipalen die Beschreibung von Subnetzen VPCs und Sicherheitsgruppen. Dies wird in der AWS Management Console im WorkSpaces Secure Browser verwendet VPCs, um Ihnen Ihre Subnetze und Sicherheitsgruppen anzuzeigen, die für die Verwendung mit dem Dienst verfügbar sind.
+ `Kinesis` – ermöglicht Prinzipalen das Aufführen von Amazon-Kinesis-Datenströmen. Dies wird in der AWS Management Console im WorkSpaces Secure Browser verwendet, um Ihnen Kinesis-Datenstreams anzuzeigen, die für die Verwendung mit dem Service verfügbar sind.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"workspaces-web:GetBrowserSettings",
"workspaces-web:GetIdentityProvider",
"workspaces-web:GetNetworkSettings",
"workspaces-web:GetPortal",
"workspaces-web:GetPortalServiceProviderMetadata",
"workspaces-web:GetTrustStore",
"workspaces-web:GetTrustStoreCertificate",
"workspaces-web:GetUserSettings",
"workspaces-web:GetUserAccessLoggingSettings",
"workspaces-web:ListBrowserSettings",
"workspaces-web:ListIdentityProviders",
"workspaces-web:ListNetworkSettings",
"workspaces-web:ListPortals",
"workspaces-web:ListTagsForResource",
"workspaces-web:ListTrustStoreCertificates",
"workspaces-web:ListTrustStores",
"workspaces-web:ListUserSettings",
"workspaces-web:ListUserAccessLoggingSettings"
],
"Resource": "arn:aws:workspaces-web:*:*:*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"kinesis:ListStreams"
],
"Resource": "*"
}
]
}
```
# WorkSpaces Secure Browser-Updates für AWS verwaltete Richtlinien
Sehen Sie sich Details zu Aktualisierungen der AWS verwalteten Richtlinien für WorkSpaces Secure Browser an, seit dieser Dienst begonnen hat, diese Änderungen zu verfolgen. Um automatische Warnungen über Änderungen an dieser Seite zu erhalten, abonnieren Sie den RSS-Feed auf der [Dokumentenverlauf für das Amazon WorkSpaces Secure Browser Administration Guide](doc-history.md)-Seite.
| Änderungen | Beschreibung | Date |
| --- | --- | --- |
| [AmazonWorkSpacesSecureBrowserReadOnly](security-iam-awsmanpol-AmazonWorkSpacesSecureBrowserReadOnly.md) – Neue Richtlinie | WorkSpaces Secure Browser hat eine neue Richtlinie hinzugefügt, die Lesezugriff auf WorkSpaces Secure Browser und seine Abhängigkeiten über die AWS-Managementkonsole, das SDK und die CLI ermöglicht. | 24. Juni 2024 |
| [AmazonWorkSpacesWebServiceRolePolicy](security-iam-awsmanpol-AmazonWorkSpacesWebServiceRolePolicy.md) – Richtlinie aktualisieren | WorkSpaces Secure Browser hat die Richtlinie aktualisiert, sodass nur noch CreateNetworkInterface Tags mit aws:RequestTag/WorkSpacesWebManaged: true and act on subnet and security group resources, as well as restrict DeleteNetworkInterface to ENIs tagged with aws:ResourceTag/WorkSpacesWebManaged: true verwendet werden dürfen. | 15. Dezember 2022 |
| [AmazonWorkSpacesWebReadOnly](security-iam-awsmanpol-AmazonWorkSpacesWebReadOnly.md) – Richtlinie aktualisieren | WorkSpaces Secure Browser hat die Richtlinie um Leseberechtigungen für die Protokollierung von Benutzerzugriffen und die Auflistung von Kinesis-Datenströmen erweitert. Weitere Informationen finden Sie unter [Protokollierung von Benutzeraktivitäten im Amazon WorkSpaces Secure Browser einrichten](user-logging.md). | 02. November 2022 |
| [AmazonWorkSpacesWebServiceRolePolicy](security-iam-awsmanpol-AmazonWorkSpacesWebServiceRolePolicy.md) – Richtlinie aktualisieren | WorkSpaces Secure Browser hat die Richtlinie aktualisiert, um eine Zusammenfassung der Kinesis-Datenströme zu beschreiben und Datensätze für die Benutzerzugriffsprotokollierung in Kinesis-Datenströmen abzulegen. Weitere Informationen finden Sie unter [Protokollierung von Benutzeraktivitäten im Amazon WorkSpaces Secure Browser einrichten](user-logging.md). | 17. Oktober 2022 |
| [AmazonWorkSpacesWebServiceRolePolicy](security-iam-awsmanpol-AmazonWorkSpacesWebServiceRolePolicy.md) – Richtlinie aktualisieren | WorkSpaces Secure Browser hat die Richtlinie aktualisiert, sodass bei der ENI-Erstellung Tags erstellt werden. | 6. September 2022 |
| [AmazonWorkSpacesWebServiceRolePolicy](security-iam-awsmanpol-AmazonWorkSpacesWebServiceRolePolicy.md) – Richtlinie aktualisieren | WorkSpaces Secure Browser hat die Richtlinie aktualisiert, um den AWS/Usage Namespace zu den PutMetricData API-Berechtigungen hinzuzufügen. | 6. April 2022 |
| [AmazonWorkSpacesWebReadOnly](security-iam-awsmanpol-AmazonWorkSpacesWebReadOnly.md) – Neue Richtlinie | WorkSpaces Secure Browser hat eine neue Richtlinie hinzugefügt, die Lesezugriff auf WorkSpaces Secure Browser und seine Abhängigkeiten über die AWS-Managementkonsole, das SDK und die CLI ermöglicht. | 30. November 2021 |
| [AmazonWorkSpacesWebServiceRolePolicy](security-iam-awsmanpol-AmazonWorkSpacesWebServiceRolePolicy.md) – Neue Richtlinie | WorkSpaces Secure Browser hat eine neue Richtlinie hinzugefügt, die den Zugriff auf AWS-Services und -Ressourcen ermöglicht, die von WorkSpaces Secure Browser verwendet oder verwaltet werden. | 30. November 2021 |
| WorkSpaces Secure Browser hat begonnen, Änderungen zu verfolgen | WorkSpaces Secure Browser begann, Änderungen an seinen AWS verwalteten Richtlinien nachzuverfolgen. | 30. November 2021 |