Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Identitäts- und Zugriffsmanagement für WorkSpaces
Standardmäßig haben IAM-Benutzer keine Berechtigungen für WorkSpaces Ressourcen und Operationen. Damit IAM-Benutzer WorkSpaces Ressourcen verwalten können, müssen Sie eine IAM-Richtlinie erstellen, die ihnen ausdrücklich Berechtigungen gewährt, und die Richtlinie den IAM-Benutzern oder -Gruppen zuordnen, die diese Berechtigungen benötigen.
**Anmerkung**
Amazon unterstützt WorkSpaces nicht die Bereitstellung von IAM-Anmeldeinformationen in einem WorkSpace (z. B. mit einem Instance-Profil).
Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:
+ Benutzer und Gruppen in: AWS IAM Identity Center
Erstellen Sie einen Berechtigungssatz. Befolgen Sie die Anweisungen unter [Erstellen eines Berechtigungssatzes](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) im *AWS IAM Identity Center -Benutzerhandbuch*.
+ Benutzer, die in IAM über einen Identitätsanbieter verwaltet werden:
Erstellen Sie eine Rolle für den Identitätsverbund. Befolgen Sie die Anleitung unter [Eine Rolle für einen externen Identitätsanbieter (Verbund) erstellen](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) im *IAM-Benutzerhandbuch*.
+ IAM-Benutzer:
+ Erstellen Sie eine Rolle, die Ihr Benutzer annehmen kann. Befolgen Sie die Anleitung unter [Eine Rolle für einen IAM-Benutzer erstellen](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) im *IAM-Benutzerhandbuch*.
+ (Nicht empfohlen) Weisen Sie einem Benutzer eine Richtlinie direkt zu oder fügen Sie einen Benutzer zu einer Benutzergruppe hinzu. Befolgen Sie die Anweisungen unter [Hinzufügen von Berechtigungen zu einem Benutzer (Konsole)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) im *IAM-Benutzerhandbuch*.
Im Folgenden finden Sie zusätzliche Ressourcen für IAM:
+ Weitere allgemeine Informationen zu IAM-Richtlinien finden Sie unter [Berechtigungen und Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ Weitere Informationen über IAM finden Sie unter [Identity and Access Management (IAM)](https://aws.amazon.com/iam) und im [https://docs.aws.amazon.com/IAM/latest/UserGuide/](https://docs.aws.amazon.com/IAM/latest/UserGuide/).
+ Weitere Informationen zu WorkSpaces spezifischen Ressourcen, Aktionen und Bedingungskontextschlüsseln zur Verwendung in IAM-Berechtigungsrichtlinien finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für Amazon WorkSpaces](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonworkspaces.html) im *IAM-Benutzerhandbuch*.
+ Ein Tool, mit dem Sie IAM-Richtlinien erstellen können, finden Sie im [AWS Policy Generator](https://aws.amazon.com/blogs/aws/aws-policy-generator/). Sie können außerdem den [IAM-Richtliniensimulator](https://docs.aws.amazon.com/IAM/latest/UsingPolicySimulatorGuide/) verwenden, um zu testen, ob eine Richtlinie eine bestimmte Anforderung an AWS zulässt oder verweigert.
**Topics**
+ [
## Beispielrichtlinien
](#workspaces-example-iam-policies)
+ [
## Geben Sie WorkSpaces Ressourcen in einer IAM-Richtlinie an
](#wsp_iam_resource)
+ [
## Erstellen Sie die Rolle workspaces\$1 DefaultRole
](#create-default-role)
+ [
## Erstellen Sie die Servicerolle AmazonWorkSpaces PCAAccess
](#create-pca-access-role)
+ [
# AWS verwaltete Richtlinien für WorkSpaces
](managed-policies.md)
+ [
# Zugriff auf WorkSpaces und Skripte auf Streaming-Instances
](using-iam-roles-to-grant-permissions-to-applications-scripts-streaming-instances.md)
+ [
# Referenz zu Betriebsberechtigungen für Amazon WorkSpaces Console
](wsp-console-permissions-ref.md)
## Beispielrichtlinien
Die folgenden Beispiele zeigen Richtlinienerklärungen, mit denen Sie die Berechtigungen kontrollieren können, die IAM-Benutzer für Amazon WorkSpaces haben.
### Beispiel 1: Zugriff gewähren, um WorkSpaces persönliche Aufgaben und Pool-Aufgaben auszuführen
Die folgende Richtlinienerklärung gewährt einem IAM-Benutzer die Erlaubnis, WorkSpaces persönliche Aufgaben und Pool-Aufgaben auszuführen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:*",
"workspaces:*",
"application-autoscaling:DeleteScalingPolicy",
"application-autoscaling:DeleteScheduledAction",
"application-autoscaling:DeregisterScalableTarget",
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"application-autoscaling:PutScalingPolicy",
"application-autoscaling:PutScheduledAction",
"application-autoscaling:RegisterScalableTarget",
"cloudwatch:DeleteAlarms",
"cloudwatch:DescribeAlarms",
"cloudwatch:PutMetricAlarm",
"ec2:AssociateRouteTable",
"ec2:AttachInternetGateway",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateInternetGateway",
"ec2:CreateNetworkInterface",
"ec2:CreateRoute",
"ec2:CreateRouteTable",
"ec2:CreateSecurityGroup",
"ec2:CreateSubnet",
"ec2:CreateTags",
"ec2:CreateVpc",
"ec2:DeleteNetworkInterface",
"ec2:DeleteSecurityGroup",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeInternetGateways",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"iam:AttachRolePolicy",
"iam:CreatePolicy",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:PutRolePolicy",
"kms:ListAliases",
"kms:ListKeys",
"secretsmanager:ListSecrets",
"tag:GetResources",
"sso-directory:SearchUsers",
"sso:CreateApplication",
"sso:DeleteApplication",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:GetApplicationGrant",
"sso:ListInstances",
"sso:PutApplicationAssignmentConfiguration",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "workspaces.amazonaws.com"
}
}
}
]
}
```
------
### Beispiel 2: Gewähren Sie Zugriff zur Ausführung WorkSpaces persönlicher Aufgaben
Die folgende Richtlinienerklärung gewährt einem IAM-Benutzer die Erlaubnis, alle WorkSpaces persönlichen Aufgaben auszuführen.
Obwohl Amazon die `Resource` Elemente `Action` und bei der Verwendung der API und der Befehlszeilentools WorkSpaces vollständig unterstützt, muss ein IAM-Benutzer über Berechtigungen für die folgenden Aktionen und Ressourcen verfügen AWS-Managementkonsole, um Amazon WorkSpaces von der aus verwenden zu können:
+ Aktionen: `"ds:*"`
+ Ressourcen: `"Resource": "*"`
Die folgende Beispielrichtlinie zeigt, wie Sie es einem IAM-Benutzer ermöglichen, Amazon WorkSpaces von der AWS-Managementkonsole aus zu verwenden.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"workspaces:*",
"ds:*",
"iam:GetRole",
"iam:CreateRole",
"iam:PutRolePolicy",
"iam:CreatePolicy",
"iam:AttachRolePolicy",
"iam:ListRoles",
"kms:ListAliases",
"kms:ListKeys",
"ec2:CreateVpc",
"ec2:CreateSubnet",
"ec2:CreateNetworkInterface",
"ec2:CreateInternetGateway",
"ec2:CreateRouteTable",
"ec2:CreateRoute",
"ec2:CreateTags",
"ec2:CreateSecurityGroup",
"ec2:DescribeInternetGateways",
"ec2:DescribeSecurityGroups",
"ec2:DescribeRouteTables",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeAvailabilityZones",
"ec2:AttachInternetGateway",
"ec2:AssociateRouteTable",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:DeleteSecurityGroup",
"ec2:DeleteNetworkInterface",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"secretsmanager:ListSecrets",
"sso-directory:SearchUsers",
"sso:CreateApplication",
"sso:DeleteApplication",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:GetApplicationGrant",
"sso:ListInstances",
"sso:PutApplicationAssignmentConfiguration",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "workspaces.amazonaws.com"
}
}
}
]
}
```
------
### Beispiel 3: Zugriff gewähren, um WorkSpaces Pools-Aufgaben auszuführen
Die folgende Richtlinienanweisung gewährt einem IAM-Benutzer die Berechtigung, alle WorkSpaces Pools-Aufgaben auszuführen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"workspaces:*",
"application-autoscaling:DeleteScalingPolicy",
"application-autoscaling:DeleteScheduledAction",
"application-autoscaling:DeregisterScalableTarget",
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"application-autoscaling:PutScalingPolicy",
"application-autoscaling:PutScheduledAction",
"application-autoscaling:RegisterScalableTarget",
"cloudwatch:DeleteAlarms",
"cloudwatch:DescribeAlarms",
"cloudwatch:PutMetricAlarm",
"ec2:CreateSecurityGroup",
"ec2:CreateTags",
"ec2:DescribeInternetGateways",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"iam:AttachRolePolicy",
"iam:CreatePolicy",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:PutRolePolicy",
"secretsmanager:ListSecrets",
"tag:GetResources"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "workspaces.amazonaws.com"
}
}
},
{
"Action": "iam:CreateServiceLinkedRole",
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/aws-service-role/workspaces.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_WorkSpacesPool",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "workspaces.application-autoscaling.amazonaws.com"
}
}
}
]
}
```
------
### Beispiel 4: Führen Sie alle WorkSpaces Aufgaben für BYOL aus WorkSpaces
Die folgende Grundsatzerklärung gewährt einem IAM-Benutzer die Erlaubnis, alle WorkSpaces Aufgaben auszuführen, einschließlich der Amazon EC2 EC2-Aufgaben, die für die Erstellung von Bring Your Own License (BYOL) erforderlich sind. WorkSpaces
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:*",
"workspaces:*",
"ec2:AssociateRouteTable",
"ec2:AttachInternetGateway",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateInternetGateway",
"ec2:CreateNetworkInterface",
"ec2:CreateRoute",
"ec2:CreateRouteTable",
"ec2:CreateSecurityGroup",
"ec2:CreateSubnet",
"ec2:CreateTags",
"ec2:CreateVpc",
"ec2:DeleteNetworkInterface",
"ec2:DeleteSecurityGroup",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeImages",
"ec2:DescribeInternetGateways",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:ModifyImageAttribute",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"iam:CreateRole",
"iam:GetRole",
"iam:PutRolePolicy",
"kms:ListAliases",
"kms:ListKeys"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "workspaces.amazonaws.com"
}
}
}
]
}
```
------
## Geben Sie WorkSpaces Ressourcen in einer IAM-Richtlinie an
Um eine WorkSpaces Ressource im `Resource` Element der Richtlinienerklärung anzugeben, verwenden Sie den Amazon-Ressourcennamen (ARN) der Ressource. Sie kontrollieren den Zugriff auf Ihre WorkSpaces Ressourcen, indem Sie die Berechtigungen zur Nutzung der API-Aktionen, die im `Action` Element Ihrer IAM-Richtlinienerklärung angegeben sind, entweder zulassen oder verweigern. WorkSpaces definiert ARNs für WorkSpaces, Bundles, IP-Gruppen und Verzeichnisse.
### WorkSpace ARN
Ein WorkSpace ARN hat die im folgenden Beispiel gezeigte Syntax.
```
arn:aws:workspaces:region:account_id:workspace/workspace_identifier
```
*Region*
Die Region, in der WorkSpace sich der befindet (z. B.`us-east-1`).
*account\$1id*
Die ID des AWS Kontos ohne Bindestriche (z. B.`123456789012`).
*workspace\$1identifier*
Die ID des WorkSpace (zum Beispiel). `ws-a1bcd2efg`
Im Folgenden finden Sie das Format des `Resource` Elements einer Grundsatzerklärung, das ein bestimmtes Element identifiziert WorkSpace.
```
"Resource": "arn:aws:workspaces:region:account_id:workspace/workspace_identifier"
```
Sie können den `*` Platzhalter verwenden, um alle Daten anzugeben WorkSpaces , die zu einem bestimmten Konto in einer bestimmten Region gehören.
### WorkSpace Pool-ARN
Ein WorkSpace Pool-ARN hat die im folgenden Beispiel gezeigte Syntax.
```
arn:aws:workspaces:region:account_id:workspacespool/workspacespool_identifier
```
*Region*
Die Region, in der WorkSpace sich der befindet (z. B.`us-east-1`).
*account\$1id*
Die ID des AWS Kontos ohne Bindestriche (z. B.`123456789012`).
*workspacespool\$1identifier*
Die ID des WorkSpace Pools (zum Beispiel). `ws-a1bcd2efg`
Im Folgenden finden Sie das Format des `Resource` Elements einer Richtlinienerklärung, das ein bestimmtes Element identifiziert WorkSpace.
```
"Resource": "arn:aws:workspaces:region:account_id:workspacespool/workspacespool_identifier"
```
Sie können den `*` Platzhalter verwenden, um alle Daten anzugeben WorkSpaces , die zu einem bestimmten Konto in einer bestimmten Region gehören.
### Zertifikat ARN
Ein WorkSpace Zertifikat-ARN hat die im folgenden Beispiel gezeigte Syntax.
```
arn:aws:workspaces:region:account_id:workspacecertificate/workspacecertificateidentifier
```
*Region*
Die Region, in der WorkSpace sich der befindet (z. B.`us-east-1`).
*account\$1id*
Die ID des AWS Kontos ohne Bindestriche (z. B.`123456789012`).
*workspacecertificate\$1identifier*
Die ID des Zertifikats (z. B.). WorkSpace `ws-a1bcd2efg`
Das folgende Format hat das `Resource` Element einer Richtlinienerklärung, das ein bestimmtes WorkSpace Zertifikat identifiziert.
```
"Resource": "arn:aws:workspaces:region:account_id:workspacecertificate/workspacecertificate_identifier"
```
Sie können den `*` Platzhalter verwenden, um alle Daten anzugeben WorkSpaces , die zu einem bestimmten Konto in einer bestimmten Region gehören.
### Abbild-ARN
Ein WorkSpace Bild-ARN hat die im folgenden Beispiel gezeigte Syntax.
```
arn:aws:workspaces:region:account_id:workspaceimage/image_identifier
```
*Region*
Die Region, in der sich das WorkSpace Bild befindet (z. B.`us-east-1`).
*account\$1id*
Die ID des AWS Kontos ohne Bindestriche (z. B.`123456789012`).
*bundle\$1identifier*
Die ID des WorkSpace Bildes (zum Beispiel). `wsi-a1bcd2efg`
Das `Resource`-Element einer Richtlinienanweisung, das ein spezifisches Paket identifiziert, weist das folgende Format auf.
```
"Resource": "arn:aws:workspaces:region:account_id:workspaceimage/image_identifier"
```
Sie können den Platzhalter `*` verwenden, um alle WorkSpaces-Abbilder anzugeben, die zu einem bestimmten Konto in einer bestimmten Region gehören.
### Bundle-ARN
Ein Bundle-ARN besitzt die im folgenden Beispiel gezeigte Syntax.
```
arn:aws:workspaces:region:account_id:workspacebundle/bundle_identifier
```
*Region*
Die Region, in der WorkSpace sich der befindet (z. B.`us-east-1`).
*account\$1id*
Die ID des AWS Kontos ohne Bindestriche (z. B.`123456789012`).
*bundle\$1identifier*
Die ID des WorkSpace Bundles (zum Beispiel). `wsb-a1bcd2efg`
Das `Resource`-Element einer Richtlinie, das ein spezifisches Bundle identifiziert, weist das folgende Format auf.
```
"Resource": "arn:aws:workspaces:region:account_id:workspacebundle/bundle_identifier"
```
Sie können den Platzhalter `*` verwenden, um alle Pakete anzugeben, die zu einem bestimmten Konto in einer bestimmten Region gehören.
### ARN der IP-Gruppe
Ein IP-Gruppen-ARN besitzt die im folgenden Beispiel gezeigte Syntax.
```
arn:aws:workspaces:region:account_id:workspaceipgroup/ipgroup_identifier
```
*Region*
Die Region, in der WorkSpace sich der befindet (z. B.`us-east-1`).
*account\$1id*
Die ID des AWS Kontos ohne Bindestriche (z. B.`123456789012`).
*ipgroup\$1identifier*
Die ID der IP-Gruppe (z. B. `wsipg-a1bcd2efg`).
Das `Resource`-Element einer Richtlinie, das eine bestimmte IP-Gruppe identifiziert, weist das folgende Format auf.
```
"Resource": "arn:aws:workspaces:region:account_id:workspaceipgroup/ipgroup_identifier"
```
Sie können den Platzhalter `*` verwenden, um alle IP-Gruppen anzugeben, die zu einem bestimmten Konto in einer bestimmten Region gehören.
### Verzeichnis-ARN
Ein Verzeichnis ARN besitzt die im folgenden Beispiel gezeigte Syntax.
```
arn:aws:workspaces:region:account_id:directory/directory_identifier
```
*Region*
Die Region, in der WorkSpace sich der befindet (z. B.`us-east-1`).
*account\$1id*
Die ID des AWS Kontos ohne Bindestriche (z. B.`123456789012`).
*directory\$1identifier*
Die ID des Verzeichnisses (z. B. `d-12345a67b8`).
Das `Resource`-Element einer Richtlinie, das eine bestimmte Richtlinienanweisung identifiziert, weist das folgende Format auf.
```
"Resource": "arn:aws:workspaces:region:account_id:directory/directory_identifier"
```
Sie können den Platzhalter `*` verwenden, um alle Verzeichnisse anzugeben, die zu einem bestimmten Konto in einer bestimmten Region gehören.
### Verbindungsalias-ARN
Ein Verbindungsalias-ARN besitzt die im folgenden Beispiel gezeigte Syntax.
```
arn:aws:workspaces:region:account_id:connectionalias/connectionalias_identifier
```
*Region*
Die Region, in der sich der Verbindungsalias befindet (z. B. `us-east-1`).
*account\$1id*
Die ID des AWS Kontos ohne Bindestriche (z. B.). `123456789012`
*connectionalias\$1identifier*
Die ID des Verbindungsalias (z. B. `wsca-12345a67b8`).
Das `Resource`-Element einer Richtlinienanweisung, das einen bestimmten Verbindungsalias angibt, weist das folgende Format auf.
```
"Resource": "arn:aws:workspaces:region:account_id:connectionalias/connectionalias_identifier"
```
Sie können den Platzhalter `*` verwenden, um alle Verbindungsaliase anzugeben, die zu einem bestimmten Konto in einer bestimmten Region gehören.
### API-Aktionen ohne Unterstützung für Berechtigungen auf Ressourcenebene
Mit den folgenden API-Aktionen können Sie keinen Ressourcen-ARN angeben:
+ `AssociateIpGroups`
+ `CreateIpGroup`
+ `CreateTags`
+ `DeleteTags`
+ `DeleteWorkspaceImage`
+ `DescribeAccount`
+ `DescribeAccountModifications`
+ `DescribeIpGroups`
+ `DescribeTags`
+ `DescribeWorkspaceDirectories`
+ `DescribeWorkspaceImages`
+ `DescribeWorkspaces`
+ `DescribeWorkspacesConnectionStatus`
+ `DisassociateIpGroups`
+ `ImportWorkspaceImage`
+ `ListAvailableManagementCidrRanges`
+ `ModifyAccount`
Bei API-Aktionen, die Berechtigungen auf Ressourcenebene nicht unterstützen, müssen Sie die Ressourcenanweisung wie im folgenden Beispiel dargestellt angeben.
```
"Resource": "*"
```
### API-Aktionen, die Einschränkungen auf Kontoebene für gemeinsam genutzte Ressourcen nicht unterstützen
Für die folgenden API-Aktionen können Sie im Ressourcen-ARN keine Konto-ID angeben, wenn die Ressource nicht dem Konto gehört:
+ `AssociateConnectionAlias`
+ `CopyWorkspaceImage`
+ `DisassociateConnectionAlias`
Für diese API-Aktionen können Sie nur dann eine Konto-ID im Ressourcen-ARN angeben, wenn dieses Konto die Ressourcen besitzt, die verwendet werden sollen. Wenn das Konto nicht Besitzer der Ressourcen ist, müssen Sie, wie im folgenden Beispiel veranschaulicht, für das Konto den Wert `*` angeben.
```
"arn:aws:workspaces:region:*:resource_type/resource_identifier"
```
## Erstellen Sie die Rolle workspaces\$1 DefaultRole
Bevor Sie ein Verzeichnis mithilfe der API registrieren können, müssen Sie überprüfen, ob eine Rolle mit dem Namen `workspaces_DefaultRole` existiert. Diese Rolle wird durch das Quick Setup oder wenn Sie eine WorkSpace mit dem starten AWS-Managementkonsole, erstellt und gewährt Amazon die WorkSpaces Erlaubnis, in Ihrem Namen auf bestimmte AWS Ressourcen zuzugreifen. Wenn diese Rolle nicht existiert, können Sie sie auf folgende Weise erstellen.
**Um die Rolle DefaultRole workspaces\$1 zu erstellen**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Wählen Sie im Navigationsbereich auf der linken Seite **Roles (Rollen)**.
1. Wählen Sie **Rolle erstellen** aus.
1. Wählen Sie unter **Typ der vertrauenswürdigen Entität auswählen** die Option **Weiteres AWS -Konto** aus.
1. Geben Sie für **Account ID (Konto-ID)** Ihre Konto-ID ohne Bindestriche oder Leerzeichen ein.
1. Geben Sie unter **Options (Optionen)** keine Multi-Faktor-Authentifizierung (MFA) an.
1. Wählen Sie **Weiter: Berechtigungen** aus.
1. Wählen Sie auf der Seite „**Zugriffsrichtlinien anhängen**“ die AWS verwalteten Richtlinien **AmazonWorkSpacesServiceAccess**AmazonWorkSpacesSelfServiceAccess****, und **AmazonWorkSpacesPoolServiceAccess**aus. Weitere Informationen zu diesen verwalteten Richtlinien finden Sie unter[AWS verwaltete Richtlinien für WorkSpaces](managed-policies.md).
1. Es wird empfohlen, unter **Berechtigungsgrenze festlegen** keine Berechtigungsgrenze zu verwenden, da Konflikte mit den Richtlinien auftreten können, die der Rolle workspaces\$1DefaultRole zugeordnet sind. Solche Konflikte könnten bestimmte erforderliche Berechtigungen für die Rolle blockieren.
1. Wählen Sie **Weiter: Tags** aus.
1. Fügen Sie auf der Seite **Add tags (optional) (Tags hinzufügen (optional))** Tags hinzu, sofern erforderlich.
1. Wählen Sie **Weiter: Prüfen** aus.
1. Geben Sie auf der Seite **Review (Überprüfen)** für **Role name (Rollenname)** **workspaces\$1DefaultRole** ein.
1. (Optional) Geben Sie im Feld **Role description (Rollenbeschreibung)** eine Beschreibung ein.
1. Wählen Sie **Rolle erstellen** aus.
1. Wählen Sie auf der **Übersichtsseite** für die DefaultRole Rolle workspaces\$1 die Registerkarte **Vertrauensbeziehungen** aus.
1. Wählen Sie auf der Registerkarte **Trust relationships (Vertrauensstellungen)** die Option **Edit trust relationship (Vertrauensstellung bearbeiten)**.
1. Ersetzen Sie auf der Seite **Edit Trust Relationship (Vertrauensstellung bearbeiten)** die vorhandene Richtlinienanweisung durch die folgende Anweisung.
```
{
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "workspaces.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
1. Wählen Sie **Update Trust Policy** (Trust Policy aktualisieren).
## Erstellen Sie die Servicerolle AmazonWorkSpaces PCAAccess
Bevor sich Benutzer mit zertifikatbasierter Authentifizierung anmelden können, müssen Sie überprüfen, ob eine Rolle mit dem Namen `AmazonWorkSpacesPCAAccess` existiert. Diese Rolle wird erstellt, wenn Sie die zertifikatsbasierte Authentifizierung in einem Verzeichnis mithilfe von aktivieren AWS-Managementkonsole, und sie erteilt Amazon die WorkSpaces Erlaubnis, in Ihrem Namen auf AWS Private CA Ressourcen zuzugreifen. Wenn diese Rolle nicht existiert, weil Sie die Konsole nicht zur Verwaltung der zertifikatbasierten Authentifizierung verwenden, können Sie sie mit dem folgenden Verfahren erstellen.
**Um die AmazonWorkSpaces PCAAccess Servicerolle mit dem zu erstellen AWS CLI**
1. Erstellen Sie eine JSON-Datei namens `AmazonWorkSpacesPCAAccess.json` mit dem folgenden Text.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "prod.euc.ecm.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Passen Sie den `AmazonWorkSpacesPCAAccess.json` Pfad nach Bedarf an und führen Sie die folgenden AWS CLI Befehle aus, um die Servicerolle zu erstellen und die [AmazonWorkspacesPCAAccess](managed-policies.md#workspaces-pca-access)verwaltete Richtlinie anzuhängen.
```
aws iam create-role --path /service-role/ --role-name AmazonWorkSpacesPCAAccess --assume-role-policy-document file://AmazonWorkSpacesPCAAccess.json
```
```
aws iam attach-role-policy —role-name AmazonWorkSpacesPCAAccess —policy-arn arn:aws:iam::aws:policy/AmazonWorkspacesPCAAccess
```
# AWS verwaltete Richtlinien für WorkSpaces
Durch die Verwendung AWS verwalteter Richtlinien ist das Hinzufügen von Berechtigungen für Benutzer, Gruppen und Rollen einfacher als das Erstellen von Richtlinien selbst. Es erfordert Zeit und Fachwissen, um [von Kunden verwaltete IAM-Richtlinien zu erstellen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html), die Ihrem Team nur die benötigten Berechtigungen bieten. Verwenden Sie AWS verwaltete Richtlinien, um schnell loszulegen. Diese Richtlinien decken allgemeine Anwendungsfälle ab und sind in Ihrem AWS Konto verfügbar. Weitere Informationen zu AWS verwalteten Richtlinien finden Sie unter [AWS Verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.
AWS Dienste verwalten und aktualisieren AWS verwaltete Richtlinien. Sie können die Berechtigungen in AWS verwalteten Richtlinien nicht ändern. Dienste können einer AWS verwalteten Richtlinie gelegentlich zusätzliche Berechtigungen hinzufügen, um neue Funktionen zu unterstützen. Diese Art von Update betrifft alle Identitäten (Benutzer, Gruppen und Rollen), an welche die Richtlinie angehängt ist. Es ist sehr wahrscheinlich, dass Dienste eine AWS verwaltete Richtlinie aktualisieren, wenn eine neue Funktion eingeführt wird oder wenn neue Operationen verfügbar werden. Dienste entfernen keine Berechtigungen aus einer AWS verwalteten Richtlinie, sodass durch Richtlinienaktualisierungen Ihre bestehenden Berechtigungen nicht beeinträchtigt werden.
AWS Unterstützt außerdem verwaltete Richtlinien für Jobfunktionen, die sich über mehrere Dienste erstrecken. Die `ReadOnlyAccess` AWS verwaltete Richtlinie bietet beispielsweise schreibgeschützten Zugriff auf alle AWS Dienste und Ressourcen. Wenn ein Service ein neues Feature startet, fügt AWS schreibgeschützte Berechtigungen für neue Vorgänge und Ressourcen hinzu. Eine Liste und Beschreibungen der Richtlinien für Auftragsfunktionen finden Sie in [Verwaltete AWS -Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Leitfaden*.
## AWS verwaltete Richtlinie: AmazonWorkSpacesAdmin
**Anmerkung**
Die aufgeführten Berechtigungen gelten nur für das SDK und funktionieren nicht für die Konsole. Für die Konsole sind zusätzliche Berechtigungen erforderlich, die in der [Referenz zu den Betriebsberechtigungen von Amazon WorkSpaces Console](wsp-console-permissions-ref.md) aufgeführt sind.
Diese Richtlinie bietet Zugriff auf WorkSpaces administrative Aktionen von Amazon. Sie stellt die folgenden Berechtigungen bereit:
+ `workspaces`- Ermöglicht den Zugriff auf administrative Aktionen für WorkSpaces Personal- und WorkSpaces Pools-Ressourcen.
+ `kms` – Ermöglicht den Zugriff auf das Auflisten und Beschreiben von KMS-Schlüsseln sowie das Auflisten von Aliasnamen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonWorkSpacesAdmin",
"Effect": "Allow",
"Action": [
"kms:DescribeKey",
"kms:ListAliases",
"kms:ListKeys",
"workspaces:CreateTags",
"workspaces:CreateWorkspaceImage",
"workspaces:CreateWorkspaces",
"workspaces:CreateWorkspacesPool",
"workspaces:CreateStandbyWorkspaces",
"workspaces:DeleteTags",
"workspaces:DeregisterWorkspaceDirectory",
"workspaces:DescribeTags",
"workspaces:DescribeWorkspaceBundles",
"workspaces:DescribeWorkspaceDirectories",
"workspaces:DescribeWorkspaces",
"workspaces:DescribeWorkspacesPools",
"workspaces:DescribeWorkspacesPoolSessions",
"workspaces:DescribeWorkspacesConnectionStatus",
"workspaces:ModifyCertificateBasedAuthProperties",
"workspaces:ModifySamlProperties",
"workspaces:ModifyStreamingProperties",
"workspaces:ModifyWorkspaceCreationProperties",
"workspaces:ModifyWorkspaceProperties",
"workspaces:RebootWorkspaces",
"workspaces:RebuildWorkspaces",
"workspaces:RegisterWorkspaceDirectory",
"workspaces:RestoreWorkspace",
"workspaces:StartWorkspaces",
"workspaces:StartWorkspacesPool",
"workspaces:StopWorkspaces",
"workspaces:StopWorkspacesPool",
"workspaces:TerminateWorkspaces",
"workspaces:TerminateWorkspacesPool",
"workspaces:TerminateWorkspacesPoolSession",
"workspaces:UpdateWorkspacesPool"
],
"Resource": "*"
}
]
}
```
------
## AWS verwaltete Richtlinie: AmazonWorkspaces PCAAccess
Diese verwaltete Richtlinie ermöglicht den Zugriff auf die Ressourcen der AWS Certificate Manager Private Certificate Authority (Private CA) in Ihrem AWS Konto für die zertifikatsbasierte Authentifizierung. Sie ist in der AmazonWorkSpaces PCAAccess Rolle enthalten und bietet die folgenden Berechtigungen:
+ `acm-pca`- Ermöglicht den Zugriff auf AWS Private CA zur Verwaltung der zertifikatsbasierten Authentifizierung.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"acm-pca:IssueCertificate",
"acm-pca:GetCertificate",
"acm-pca:DescribeCertificateAuthority"
],
"Resource": "arn:*:acm-pca:*:*:*",
"Condition": {
"StringLike": {
"aws:ResourceTag/euc-private-ca": "*"
}
}
}
]
}
```
------
## AWS verwaltete Richtlinie: AmazonWorkSpacesSelfServiceAccess
Diese Richtlinie gewährt Zugriff auf den WorkSpaces Amazon-Service, um WorkSpaces Self-Service-Aktionen durchzuführen, die von einem Benutzer initiiert wurden. Sie ist in der Rolle `workspaces_DefaultRole` enthalten und bietet die folgenden Berechtigungen:
+ `workspaces`- Ermöglicht Benutzern den Zugriff auf WorkSpaces Self-Service-Verwaltungsfunktionen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"workspaces:RebootWorkspaces",
"workspaces:RebuildWorkspaces",
"workspaces:ModifyWorkspaceProperties"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## AWS verwaltete Richtlinie: AmazonWorkSpacesServiceAccess
Diese Richtlinie ermöglicht dem Kundenkonto den Zugriff auf den WorkSpaces Amazon-Service zum Starten eines WorkSpace. Sie ist in der Rolle `workspaces_DefaultRole` enthalten und bietet die folgenden Berechtigungen:
+ `ec2`- Ermöglicht den Zugriff auf die Verwaltung von Amazon EC2 EC2-Ressourcen, die mit einem verknüpft sind WorkSpace, z. B. Netzwerkschnittstellen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface",
"ec2:DescribeNetworkInterfaces"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## AWS verwaltete Richtlinie: AmazonWorkSpacesPoolServiceAccess
Diese Richtlinie wird in workspaces\$1 verwendetDefaultRole, das für den Zugriff auf die erforderlichen Ressourcen im AWS Kundenkonto für Pools WorkSpaces verwendet wird. WorkSpaces Weitere Informationen finden Sie unter [Erstellen Sie die Rolle workspaces\$1 DefaultRole](workspaces-access-control.md#create-default-role). Sie stellt die folgenden Berechtigungen bereit:
+ `ec2`- Ermöglicht den Zugriff auf die Verwaltung von Amazon EC2 EC2-Ressourcen, die einem WorkSpaces Pool zugeordnet sind, wie Subnetze VPCs, Availability Zones, Sicherheitsgruppen und Routing-Tabellen.
+ `s3`- Ermöglicht den Zugriff auf Aktionen für Amazon S3 S3-Buckets, die für Protokolle, Anwendungseinstellungen und die Home-Folder-Funktion erforderlich sind.
------
#### [ Commercial AWS-Regionen ]
Die folgende JSON-Richtlinie gilt für den Werbespot AWS-Regionen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ProvisioningWorkSpacesPoolPermissions",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSecurityGroups",
"ec2:DescribeRouteTables",
"s3:ListAllMyBuckets"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "WorkSpacesPoolS3Permissions",
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:ListBucket",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetObjectVersion",
"s3:DeleteObjectVersion",
"s3:GetBucketPolicy",
"s3:PutBucketPolicy",
"s3:PutEncryptionConfiguration"
],
"Resource": [
"arn:aws:s3:::wspool-logs-*",
"arn:aws:s3:::wspool-app-settings-*",
"arn:aws:s3:::wspool-home-folder-*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
------
#### [ AWS GovCloud (US) Regions ]
Die folgende JSON-Richtlinie gilt für den Werbespot AWS GovCloud (US) Regions.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ProvisioningWorkSpacesPoolPermissions",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSecurityGroups",
"ec2:DescribeRouteTables",
"s3:ListAllMyBuckets"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "WorkSpacesPoolS3Permissions",
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:ListBucket",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetObjectVersion",
"s3:DeleteObjectVersion",
"s3:GetBucketPolicy",
"s3:PutBucketPolicy",
"s3:PutEncryptionConfiguration"
],
"Resource": [
"arn:aws-us-gov:s3:::wspool-logs-*",
"arn:aws-us-gov:s3:::wspool-app-settings-*",
"arn:aws-us-gov:s3:::wspool-home-folder-*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
------
## WorkSpaces Aktualisierungen der AWS verwalteten Richtlinien
Hier finden Sie Informationen zu Aktualisierungen AWS verwalteter Richtlinien, die WorkSpaces seit Beginn der Nachverfolgung dieser Änderungen durch diesen Dienst vorgenommen wurden.
| Änderungen | Beschreibung | Date |
| --- | --- | --- |
| [AWS verwaltete Richtlinie: AmazonWorkSpacesPoolServiceAccess](#workspaces-pools-service-access) – Neue Richtlinie hinzugefügt. | WorkSpaces hat eine neue verwaltete Richtlinie hinzugefügt, um Berechtigungen zum Anzeigen von Amazon EC2 VPCs und verwandten Ressourcen sowie zum Anzeigen und Verwalten von Amazon S3 S3-Buckets für WorkSpaces Pools zu erteilen. | 24. Juni 2024 |
| [AWS verwaltete Richtlinie: AmazonWorkSpacesAdmin](#workspaces-admin) – Richtlinie aktualisieren | WorkSpaces der von Amazon WorkSpacesAdmin verwalteten Richtlinie wurden mehrere Aktionen für WorkSpaces Pools hinzugefügt, sodass Administratoren Zugriff auf die Verwaltung von WorkSpace Pool-Ressourcen erhalten. | 24. Juni 2024 |
| [AWS verwaltete Richtlinie: AmazonWorkSpacesAdmin](#workspaces-admin) – Richtlinie aktualisieren | WorkSpaces hat die workspaces:RestoreWorkspace Aktion zur von Amazon WorkSpacesAdmin verwalteten Richtlinie hinzugefügt und Administratoren Zugriff auf die Wiederherstellung WorkSpaces gewährt. | 25. Juni 2023 |
| [AWS verwaltete Richtlinie: AmazonWorkspaces PCAAccess](#workspaces-pca-access) – Neue Richtlinie hinzugefügt. | WorkSpaces hat eine neue verwaltete Richtlinie hinzugefügt, um der Verwaltung von AWS Private CA die acm-pca Berechtigung zur Verwaltung der zertifikatsbasierten Authentifizierung zu erteilen. | 18. November 2022 |
| WorkSpaces hat begonnen, Änderungen zu verfolgen | WorkSpaces hat begonnen, Änderungen für die WorkSpaces verwalteten Richtlinien zu verfolgen. | 1. März 2021 |
# Zugriff auf WorkSpaces und Skripte auf Streaming-Instances
Anwendungen und Skripts, die auf WorkSpaces Streaming-Instances ausgeführt werden, müssen AWS Anmeldeinformationen in ihren AWS API-Anfragen enthalten. Sie können eine IAM-Rolle zum Verwalten dieser Anmeldeinformationen erstellen. Eine IAM-Rolle gibt eine Reihe von Berechtigungen an, die Sie für den Zugriff auf AWS Ressourcen verwenden können. Diese Rolle ist jedoch nicht eindeutig einer Person zugeordnet. Stattdessen kann sie von jedem Benutzer angenommen werden, die sie benötigt.
Sie können eine IAM-Rolle auf eine WorkSpaces Streaming-Instance anwenden. Wenn die Streaming-Instance zur Rolle wechselt (die Rolle annimmt), stellt die Rolle temporäre Sicherheitsanmeldeinformationen bereit. Ihre Anwendung oder Skripts verwenden diese Anmeldeinformationen, um API-Aktionen und Verwaltungsaufgaben auf der Streaming-Instance auszuführen. WorkSpaces verwaltet den temporären Anmeldeinformationsschalter für Sie.
**Topics**
+ [
## Bewährte Methoden für die Verwendung von IAM-Rollen mit Streaming-Instances WorkSpaces
](#best-practices-for-using-iam-role-with-streaming-instances)
+ [
## Konfiguration einer vorhandenen IAM-Rolle für die Verwendung mit WorkSpaces Streaming-Instances
](#configuring-existing-iam-role-to-use-with-streaming-instances)
+ [
## So erstellen Sie eine IAM-Rolle zur Verwendung mit WorkSpaces Streaming-Instances
](#how-to-create-iam-role-to-use-with-streaming-instances)
+ [
## So verwenden Sie die IAM-Rolle mit WorkSpaces Streaming-Instances
](#how-to-use-iam-role-with-streaming-instances)
## Bewährte Methoden für die Verwendung von IAM-Rollen mit Streaming-Instances WorkSpaces
Wenn Sie IAM-Rollen mit WorkSpaces Streaming-Instances verwenden, empfehlen wir Ihnen, die folgenden Methoden zu befolgen:
+ Beschränken Sie die Berechtigungen, die Sie AWS API-Aktionen und -Ressourcen gewähren.
Halten Sie sich beim Erstellen und Anhängen von IAM-Richtlinien an die IAM-Rollen, die WorkSpaces Streaming-Instances zugeordnet sind, an die Grundsätze der geringsten Rechte. Wenn Sie eine Anwendung oder ein Skript verwenden, das Zugriff auf AWS API-Aktionen oder -Ressourcen benötigt, legen Sie fest, welche spezifischen Aktionen und Ressourcen erforderlich sind. Erstellen Sie dann Richtlinien, die der Anwendung oder dem Skript gestatten, ausschließlich diese Aktionen auszuführen. Weitere Informationen finden Sie unter [Gewähren von geringsten Rechten](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) im *IAM-Benutzerhandbuch*.
+ Erstellen Sie eine IAM-Rolle für jede WorkSpaces Ressource.
Das Erstellen einer eindeutigen IAM-Rolle für jede WorkSpaces Ressource entspricht den Prinzipien der geringsten Rechte. Auf diese Weise können Sie auch Berechtigungen für eine Ressource ändern, ohne dass dies Auswirkungen auf andere Ressourcen hat.
+ Schränken Sie ein, wo die Anmeldeinformationen verwendet werden können.
Mit IAM-Richtlinien können Sie die Bedingungen definieren, unter denen Ihre IAM-Rolle für den Zugriff auf eine Ressource verwendet werden kann. Sie können beispielsweise Bedingungen einfügen, um einen Bereich von IP-Adressen anzugeben, aus dem Anfragen stammen können. Auf diese Weise wird verhindert, dass die Anmeldeinformationen außerhalb Ihrer Umgebung verwendet werden. Weitere Informationen finden Sie unter [Verwenden von Richtlinienbedingungen für zusätzliche Sicherheit](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#use-policy-conditions) im *IAM-Benutzerhandbuch*.
## Konfiguration einer vorhandenen IAM-Rolle für die Verwendung mit WorkSpaces Streaming-Instances
In diesem Thema wird beschrieben, wie Sie eine vorhandene IAM-Rolle so konfigurieren, dass Sie sie mit verwenden können. WorkSpaces
**Voraussetzungen**
Die IAM-Rolle, die Sie mit verwenden möchten, WorkSpaces muss die folgenden Voraussetzungen erfüllen:
+ Die IAM-Rolle muss sich in demselben Amazon Web Services Services-Konto wie die WorkSpaces Streaming-Instance befinden.
+ Die IAM-Rolle darf keine Servicerolle sein.
+ Die Vertrauensstellungsrichtlinie, die der IAM-Rolle zugeordnet ist, muss den WorkSpaces Service als Principal beinhalten. Ein *Principal* ist eine EntitätAWS, die Aktionen ausführen und auf Ressourcen zugreifen kann. Die Richtlinie muss auch die Aktion `sts:AssumeRole` enthalten. Diese Richtlinienkonfiguration wird WorkSpaces als vertrauenswürdige Entität definiert.
+ Wenn Sie die IAM-Rolle auf anwenden WorkSpaces, WorkSpaces müssen Sie eine Version des WorkSpaces Agenten ausführen, die am oder nach dem 3. September 2019 veröffentlicht wurde. Wenn Sie die IAM-Rolle auf anwenden WorkSpaces, WorkSpaces müssen Sie ein Image verwenden, das eine Version des Agenten verwendet, die am oder nach demselben Datum veröffentlicht wurde.
**Damit der WorkSpaces Dienstprinzipal eine bestehende IAM-Rolle übernehmen kann**
Um die folgenden Schritte auszuführen, müssen Sie sich im Konto als IAM-Benutzer anmelden, der über die erforderlichen Berechtigungen zum Auflisten und Aktualisieren von IAM-Rollen verfügt. Wenn Sie nicht über die erforderlichen Berechtigungen verfügen, bitten Sie Ihren AWS-Kontoadministrator, diese Schritte in Ihrem Konto auszuführen oder Ihnen die erforderlichen Berechtigungen zu erteilen.
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Wählen Sie im Navigationsbereich **Rollen**.
1. Wählen Sie in der Rollenliste in Ihrem Konto den Namen der zu ändernden Rolle.
1. Klicken Sie auf der Registerkarte **Trust Relationships (Vertrauensbeziehungen)** auf **Edit Trust Relationship (Vertrauensbeziehungen bearbeiten)**.
1. Überprüfen Sie unter **Policy Document (Richtliniendokument)**, ob die Vertrauensstellungsrichtlinie die Aktion `sts:AssumeRole` für den `workspaces.amazonaws.com`-Service-Prinzipal enthält:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"workspaces.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Wenn Sie Ihre Vertrauensrichtlinie fertiggestellt haben, klicken Sie auf **Update Trust Policy (Vertrauensrichtlinie aktualisieren)**, um Ihre Änderungen zu speichern.
1. Die von Ihnen ausgewählte IAM-Rolle wird in der WorkSpaces Konsole angezeigt. Diese Rolle erteilt Anwendungen und Skripts Berechtigungen zum Ausführen von API-Aktionen und Verwaltungsaufgaben auf Streaming-Instances.
## So erstellen Sie eine IAM-Rolle zur Verwendung mit WorkSpaces Streaming-Instances
In diesem Thema wird beschrieben, wie Sie eine neue IAM-Rolle erstellen, damit Sie sie verwenden können WorkSpaces
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Wählen Sie im Navigationsbereich **Rollen** und dann **Rolle erstellen**.
1. Wählen Sie unter **Select type of trusted entity (Typ der vertrauenswürdigen Entität wählen)** die Option **AWS Service** aus.
1. Wählen Sie aus der Liste der AWS Dienste die Option **WorkSpaces**.
1. Unter **Wählen Sie Ihren Anwendungsfall** ist **WorkSpaces — Erlaubt WorkSpaces Instances, AWS Dienste in Ihrem Namen aufzurufen**, bereits ausgewählt. Wählen Sie **Weiter: Berechtigungen** aus.
1. Wenn möglich, wählen Sie die Richtlinie aus, die für die Berechtigungsrichtlinie verwendet werden soll, oder wählen **Create policy (Richtlinie erstellen)**, um eine neue Registerkarte im Browser zu öffnen und eine vollständig neue Richtlinie zu erstellen. Weitere Informationen finden Sie in Schritt 4 der Anleitung [Erstellen von IAM-Richtlinien (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start) im *IAM-Benutzerhandbuch*.
Nachdem Sie die Richtlinie erstellt haben, schließen Sie die Registerkarte und kehren zur ursprünglichen Registerkarte zurück. Aktivieren Sie das Kontrollkästchen neben den Berechtigungsrichtlinien, die Sie haben WorkSpaces möchten.
1. (Optional) Legen Sie eine Berechtigungsgrenze fest. Dies ist eine erweiterte Funktion, die für Servicerollen verfügbar ist, aber nicht für servicegebundene Rollen. Weitere Informationen finden Sie unter [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) im *IAM-Benutzerhandbuch*.
1. Wählen Sie **Weiter: Markierungen**. Sie können Tags optional als Schlüssel-Wert-Paare anhängen. Weitere Informationen zum Thema [Taggen von IAM-Benutzern und Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) finden Sie im *IAM-Benutzerhandbuch*.
1. Wählen Sie **Weiter: Prüfen** aus.
1. Geben Sie unter **Rollenname** einen Rollennamen ein, der in Ihrem AWS-Konto eindeutig ist. Da andere AWS Ressourcen möglicherweise auf die Rolle verweisen, können Sie den Namen der Rolle nicht bearbeiten, nachdem sie erstellt wurde.
1. Behalten Sie für **Role description (Rollenbeschreibung)** die Standardrollenbeschreibung bei oder geben Sie eine neue Beschreibung ein.
1. Prüfen Sie die Rolle und klicken Sie dann auf **Create Role (Rolle erstellen)**.
## So verwenden Sie die IAM-Rolle mit WorkSpaces Streaming-Instances
Nachdem Sie eine IAM-Rolle erstellt haben, können Sie sie WorkSpaces beim Start anwenden. WorkSpaces Sie können eine IAM-Rolle auch auf eine bestehende Rolle anwenden. WorkSpaces
Wenn Sie eine IAM-Rolle auf anwenden WorkSpaces, WorkSpaces ruft temporäre Anmeldeinformationen ab und erstellt das **Workspaces\$1Machine\$1Role-Anmeldeinformationsprofil** für die Instanz. Die temporären Anmeldeinformationen sind 1 Stunde lang gültig und es werden stündlich neue Anmeldeinformationen abgerufen. Die vorherigen Anmeldeinformationen laufen nicht ab, sodass Sie sie so lange verwenden können, wie sie gültig sind. Sie können das Anmeldeinformationsprofil verwenden, um AWS Dienste programmgesteuert aufzurufen, indem Sie die AWS Befehlszeilenschnittstelle (AWSCLI), AWS Tools for PowerShell oder das AWS SDK in der Sprache Ihrer Wahl verwenden.
Wenn Sie die API-Aufrufe tätigen, geben Sie **workspaces\$1machine\$1role** als Anmeldeinformationsprofil an. Andernfalls schlägt die Operation aufgrund unzureichender Berechtigungen fehl.
WorkSpaces nimmt die angegebene Rolle an, während die Streaming-Instanz bereitgestellt wird. Da die elastic network interface, die an Ihre VPC angehängt ist, für AWS API-Aufrufe WorkSpaces verwendet wird, muss Ihre Anwendung oder Ihr Skript warten, bis die elastic network interface verfügbar ist, bevor AWS API-Aufrufe ausgeführt werden. Wenn API-Aufrufe ausgeführt werden, bevor die Elastic-Network-Schnittstelle verfügbar ist, schlagen die Aufrufe fehl.
Die folgenden Beispiele zeigen, wie Sie das Anmeldeinformationsprofil **workspaces\$1machine\$1role** verwenden können, um Streaming-Instances (EC2 Instances) zu beschreiben und den Boto-Client zu erstellen. Boto ist das Amazon Web Services (AWS) SDK für Python.
**Beschreiben Sie EC2 Streaming-Instances (Instanzen) mithilfe der AWS CLI**
```
aws ec2 describe-instances --region us-east-1 --profile workspaces_machine_role
```
**Beschreiben Sie EC2 Streaming-Instanzen (Instanzen) mithilfe von AWS Tools für PowerShell**
Sie müssen AWS Tools für PowerShell Version 3.3.563.1 oder höher mit dem Amazon Web Services SDK for .NET Version 3.3.103.22 oder höher verwenden. Sie können das Installationsprogramm für AWS Tools für Windows, das AWS Tools for PowerShell und das Amazon Web Services SDK for .NET enthält, von der PowerShell Website [AWSTools for](https://aws.amazon.com/powershell/) herunterladen.
```
Get-EC2Instance -Region us-east-1 -ProfileName workspaces_machine_role
```
**Den Boto-Client mithilfe des AWS SDK für Python erstellen**
```
session = boto3.Session(profile_name=workspaces_machine_role')
```
# Referenz zu Betriebsberechtigungen für Amazon WorkSpaces Console
Manche Amazon WorkSpaces APIs können nur über die AWS Management Console aufgerufen werden. Sie sind nicht öffentlich APIs, in dem Sinne, dass sie nicht programmgesteuert aufgerufen werden können, und sie werden von keinem SDK bereitgestellt. Zu diesen API-Operationen gehören:
+ Arbeitsbereiche: DirectoryAccessManagement
+ Arbeitsbereiche: CreateRootClientCertificate
+ Arbeitsbereiche: UpdateRootClientCertificate
+ Arbeitsbereiche: DeleteRootClientCertificate
+ Arbeitsbereiche: DescribeConsent
+ Arbeitsbereiche: UpdateConsent
## WorkSpaces Konsolenoperationen und erforderliche Berechtigungen für Aktionen
Die Konsole verwendet zusätzliche API-Aktionen für ihre Funktionen, sodass die Berechtigungen für die WorkSpaces Öffentlichkeit APIs möglicherweise nicht ausreichen. Beispielsweise CLI/SDK kann es bei einem Benutzer, der über die Berechtigungen zur Nutzung der [CreateWorkspaces](https://docs.aws.amazon.com/workspaces/latest/api/API_CreateWorkspaces.html)API verfügt, beim Versuch, eine WorkSpace auf der Konsole zu erstellen, zu Fehlern kommen, da ihm bestimmte Berechtigungen zum Auswählen oder Erstellen von Benutzern fehlen. In dieser Tabelle sind die Funktionen aufgeführt, die nur in der WorkSpaces Konsole verfügbar sind, sowie die erforderlichen zusätzlichen Berechtigungen, die es Benutzern ermöglichen, mit diesen speziellen Teilen der Konsole zu arbeiten.
Der Abschnitt [Beispielrichtlinien](https://docs.aws.amazon.com/workspaces/latest/adminguide/workspaces-access-control.html#workspaces-example-iam-policies) enthält eine Liste der Berechtigungen zur Ausführung aller WorkSpaces Aufgaben für Personal, Pools und BYOL WorkSpaces.
Alternativ können Sie auch detaillierte Berechtigungen verwenden, um Berechtigungen mit den geringsten Rechten für die Ausführung einer Aufgabe anzuwenden.
In dieser Tabelle sind die WorkSpaces Konsolenfunktionen aufgeführt, die auf den Funktionen basieren APIs , die nicht vom SDK bereitgestellt werden, sowie die erforderlichen Berechtigungen, die es Benutzern ermöglichen, mit diesen speziellen Teilen der Konsole zu arbeiten. Diese Berechtigungen sollten zusätzlich zu anderen vom SDK APIs bereitgestellten Aktionen hinzugefügt werden.
| WorkSpaces Operationen auf der Konsole | Erforderliche Berechtigungen |
| --- | --- |
| [WorkSpaces Persönliche Schnelleinrichtung](https://docs.aws.amazon.com/workspaces/latest/adminguide/managing-wsp-personal.html#getting-started) | Arbeitsbereiche: DirectoryAccessManagement Anzeigen: \$1 ec2: CreateVpc ec2: CreateSubnet ec2: CreateNetworkInterface ec2: CreateInternetGateway ec2: CreateRouteTable ec2: CreateRoute ec2: CreateTags ec2: CreateSecurityGroup ec2: DescribeInternetGateways ec2: DescribeSecurityGroups ec2: DescribeRouteTables ec2: DescribeVpcs ec2: DescribeSubnets ec2: DescribeNetworkInterfaces ec2: DescribeAvailabilityZones ec2: AttachInternetGateway ec2: AssociateRouteTable ec2: AuthorizeSecurityGroupIngress ec2: AuthorizeSecurityGroupEgress ich bin: CreateRole ich bin: GetRole ich bin: PutRolePolicy Arbeitsbereiche: DescribeAccount Arbeitsbereiche: DescribeWorkspaceDirectories Arbeitsbereiche: CreateWorkspaces Arbeitsbereiche: DescribeWorkspaces Arbeitsbereiche: RegisterWorkspaceDirectory Arbeitsbereiche: DescribeWorkspaceBundles Arbeitsbereiche: DescribeWorkspaces |
| [Beschränken Sie den Zugriff auf vertrauenswürdige Geräte für WorkSpaces Privatanwender](https://docs.aws.amazon.com/workspaces/latest/adminguide/trusted-devices.html#configure-restriction) | Arbeitsbereiche: CreateRootClientCertificate Arbeitsbereiche: UpdateRootClientCertificate Arbeitsbereiche: DeleteRootClientCertificate Anzeigen: DescribeDirectories ec2: DescribeSubnets ec2: DescribeSecurityGroups Arbeitsbereiche: DescribeAccount Arbeitsbereiche: DescribeWorkspaceDirectories Arbeitsbereiche: DescribeTags Arbeitsbereiche: DescribeClientProperties Arbeitsbereiche: DescribeConnectClientAddins Arbeitsbereiche: DirectoryAccessManagement |
| [ WorkSpace In WorkSpaces Personal auf der Konsole erstellen — Für](https://docs.aws.amazon.com/workspaces/latest/adminguide/create-workspaces-personal.html) create/search/describe Verzeichnisbenutzer des Verzeichnisdienstes | Arbeitsbereiche: DirectoryAccessManagement Arbeitsbereiche: DescribeAccount Arbeitsbereiche: CreateWorkspaces Arbeitsbereiche: DescribeWorkspaces Arbeitsbereiche: DescribeWorkspaceDirectories Arbeitsbereiche: DescribeWorkspaceBundles Arbeitsbereiche: DescribeTags Arbeitsbereiche: CreateTags Arbeitsbereiche: DescribeClientProperties km: ListKeys km: ListAliases km: DescribeKey ds: DescribeTrusts ds: DescribeDirectories ec2: DescribeSubnets ec2: DescribeSecurityGroups |
| [Benutzer in WorkSpaces Personal verwalten](https://docs.aws.amazon.com/workspaces/latest/adminguide/manage-workspaces-users.html) — Um Benutzer zu bearbeiten und Benutzern eine Einladungs-E-Mail zu senden | Arbeitsbereiche: DirectoryAccessManagement Arbeitsbereiche: DescribeAccount Arbeitsbereiche: DescribeWorkspaceDirectories Arbeitsbereiche: DescribeWorkspaces Arbeitsbereiche: DescribeTags Arbeitsbereiche: DescribeWorkspaceBundles Arbeitsbereiche: DescribeWorkspacesConnectionStatus Arbeitsbereiche: DescribeWorkspaceAssociations Arbeitsbereiche: DescribeWorkspaceSnapshots Arbeitsbereiche: DescribeWorkspaceImages Arbeitsbereiche: DescribeConnectionAliases |
| [Aktualisieren Sie das AD Connector-Konto (AD Connector) für WorkSpaces Personal](https://docs.aws.amazon.com/workspaces/latest/adminguide/connect-account.html) | Arbeitsbereiche: DirectoryAccessManagement Anzeigen: DescribeDirectories ds: UpdateDirectory ec2: DescribeSubnets ec2: DescribeSecurityGroups Arbeitsbereiche: DescribeAccount Arbeitsbereiche: DescribeWorkspaceDirectories Arbeitsbereiche: DescribeTags Arbeitsbereiche: DescribeClientProperties Arbeitsbereiche: DescribeConnectClientAddins |
| [Wählen Sie eine Organisationseinheit für Personal WorkSpaces ](https://docs.aws.amazon.com/workspaces/latest/adminguide/select-ou.html) | Arbeitsbereiche: DirectoryAccessManagement Anzeigen: DescribeDirectories ec2: DescribeSubnets ec2: DescribeSecurityGroups Arbeitsbereiche: DescribeAccount Arbeitsbereiche: DescribeWorkspaceDirectories Arbeitsbereiche: DescribeTags Arbeitsbereiche: DescribeClientProperties Arbeitsbereiche: DescribeConnectClientAddins Arbeitsbereiche: ModifyWorkspaceCreationProperties |
| [Aktivieren Sie Ihr Konto für BYOL](https://docs.aws.amazon.com/workspaces/latest/adminguide/byol-windows-images.html) — um zu bestätigen, dass Sie die Voraussetzungen für die Nutzung von BYOL verstanden haben WorkSpaces | Arbeitsbereiche: DescribeConsent Arbeitsbereiche: UpdateConsent Arbeitsbereiche: DescribeAccount Arbeitsbereiche: ListAccountLinks Arbeitsbereiche: DescribeWorkspaceBundles Arbeitsbereiche: DescribeWorkspaceImages Arbeitsbereiche: DescribeWorkspaceDirectories |