AmazonWorkSpacesAdmin AmazonWorkspacesPCAAccess AmazonWorkSpacesSelfServiceAccess AmazonWorkSpacesServiceAccess AmazonWorkSpacesPoolServiceAcces Actualizaciones de WorkSpaces a las políticas administradas por AWS

Políticas administradas por AWS para WorkSpaces

El uso de las políticas administradas por AWS facilita añadir permisos a usuarios, grupos y roles en lugar de tener que escribir las políticas usted mismo. Se necesita tiempo y experiencia para crear políticas administradas por el cliente de IAM que proporcionen a su equipo solo los permisos necesarios. Para comenzar rápidamente, utilice las políticas administradas por AWS. Estas políticas cubren casos de uso comunes y están disponibles en su cuenta de AWS. Para obtener más información sobre las políticas administradas de AWS, consulte Políticas administradas de AWS en la Guía del usuario de IAM.

Los servicios de AWS mantienen y actualizan las políticas administradas de AWS. No puede cambiar los permisos en las políticas gestionadas de AWS. En ocasiones, en los servicios se podrían añadir permisos adicionales a una política administrada por AWS para admitir características nuevas. Este tipo de actualización afecta a todas las identidades (usuarios, grupos y roles) donde se asocia la política. Es más probable que los servicios actualicen una política administrada de AWScuando se lanza una nueva característica o cuando se ponen a disposición nuevas operaciones. Los servicios no quitan permisos de una política administrada por AWS, por lo que las actualizaciones de las políticas no deterioran los permisos existentes.

Además, AWS admite políticas administradas para funciones de trabajo que abarcan varios servicios. Por ejemplo, la política ReadOnlyAccess administrada por AWS proporciona acceso de solo lectura a todos los servicios y recursos de AWS. Cuando un servicio lanza una nueva característica, AWS agrega permisos de solo lectura para las operaciones y los recursos nuevos. Para obtener una lista y descripciones de las políticas de funciones de trabajo, consulte Políticas administradas de AWS para funciones de trabajo en la Guía del usuario de IAM.

Política administrada por AWS: AmazonworkspacesAdmin

nota

Los permisos que se muestran son solo para el SDK y no funcionarán para la consola. La consola requiere los permisos adicionales que figuran en la referencia de permisos de operaciones de la consola de Amazon WorkSpaces.

Esta política proporciona acceso a las acciones administrativas de Amazon WorkSpaces. Proporciona los siguientes permisos:

workspaces: permite el acceso para realizar acciones administrativas en los recursos de WorkSpaces Personal y WorkSpaces Pools.
kms: Permite acceder a la lista y descripción de claves KMS, así como a la lista de alias.

JSON


{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AmazonWorkSpacesAdmin",
            "Effect": "Allow",
            "Action": [
                "kms:DescribeKey",
                "kms:ListAliases",
                "kms:ListKeys",
                "workspaces:CreateTags",
                "workspaces:CreateWorkspaceImage",
                "workspaces:CreateWorkspaces",
                "workspaces:CreateWorkspacesPool",
                "workspaces:CreateStandbyWorkspaces",
                "workspaces:DeleteTags",
                "workspaces:DeregisterWorkspaceDirectory",
                "workspaces:DescribeTags",
                "workspaces:DescribeWorkspaceBundles",
                "workspaces:DescribeWorkspaceDirectories",
                "workspaces:DescribeWorkspaces",
                "workspaces:DescribeWorkspacesPools",
                "workspaces:DescribeWorkspacesPoolSessions",
                "workspaces:DescribeWorkspacesConnectionStatus",
                "workspaces:ModifyCertificateBasedAuthProperties",
                "workspaces:ModifySamlProperties",
                "workspaces:ModifyStreamingProperties",
                "workspaces:ModifyWorkspaceCreationProperties",
                "workspaces:ModifyWorkspaceProperties",
                "workspaces:RebootWorkspaces",
                "workspaces:RebuildWorkspaces",
                "workspaces:RegisterWorkspaceDirectory",
                "workspaces:RestoreWorkspace",
                "workspaces:StartWorkspaces",
                "workspaces:StartWorkspacesPool",
                "workspaces:StopWorkspaces",
                "workspaces:StopWorkspacesPool",
                "workspaces:TerminateWorkspaces",
                "workspaces:TerminateWorkspacesPool",
                "workspaces:TerminateWorkspacesPoolSession",
                "workspaces:UpdateWorkspacesPool"
            ],
            "Resource": "*"
        }
    ]
}

Política administrada porAWS: AmazonWorkspace/PCAAccess

Esta política administrada proporciona acceso a los recursos de autoridad de certificación privada (CA privada) de AWS Certificate Manager Private en su cuenta de AWS para la autenticación basada en certificados. Se incluye en el rol AmazonWorkspaceSPCAAccess y proporciona los siguientes permisos:

acm-pca: Permite el acceso a la CA privada de AWS para administrar la autenticación basada en certificados.

Política administrada por AWS: AmazonWorkSpacesSelfServiceAccess

Esta política proporciona acceso al servicio Amazon WorkSpaces para realizar acciones de autoservicio de WorkSpaces iniciadas por un usuario. Se incluye en el rol workspaces_DefaultRole y proporciona los siguientes permisos:

workspaces: Permite a los usuarios acceder a las funciones de administración de WorkSpaces de autoservicio.

Política administrada por AWS: AmazonWorkspacesServiceAccess

Esta política proporciona acceso a las cuentas de los clientes al servicio Amazon WorkSpaces para lanzar un WorkSpace. Se incluye en el rol workspaces_DefaultRole y proporciona los siguientes permisos:

ec2: Permite el acceso para administrar los recursos de Amazon EC2 asociados a un WorkSpace, como las interfaces de red.

Política administrada de AWS: AmazonWorkSpacesPoolServiceAccess

Esta política se utiliza en workspaces_DefaultRole, que WorkSpaces utiliza para obtener acceso a los recursos necesarios en la cuenta de AWS del cliente en WorkSpaces Pools. Para obtener más información consulte () Crear el rol workspaces_DefaultRole. Proporciona los siguientes permisos:

ec2: permite el acceso para administrar los recursos de Amazon EC2 asociados a un grupo de WorkSpaces Pools, como las VPC, las subredes, las zonas de disponibilidad, los grupos de seguridad y las tablas de enrutamiento.
s3: permite el acceso para realizar las acciones necesarias en los buckets de Amazon S3 para los registros, la configuración de las aplicaciones y la característica de carpeta de inicio.

Commercial Regiones de AWS

La siguiente política JSON se aplica a las Regiones de AWS comerciales.

JSON

JSON


{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ProvisioningWorkSpacesPoolPermissions",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeRouteTables",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "WorkSpacesPoolS3Permissions",
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:ListBucket",
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:GetObjectVersion",
                "s3:DeleteObjectVersion",
                "s3:GetBucketPolicy",
                "s3:PutBucketPolicy",
                "s3:PutEncryptionConfiguration"
            ],
            "Resource": [
                "arn:aws:s3:::wspool-logs-*",
                "arn:aws:s3:::wspool-app-settings-*",
                "arn:aws:s3:::wspool-home-folder-*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        }
    ]
}

AWS GovCloud (US) Regions

La siguiente política JSON se aplica a las AWS GovCloud (US) Regions comerciales.

JSON

JSON


{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ProvisioningWorkSpacesPoolPermissions",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeRouteTables",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "WorkSpacesPoolS3Permissions",
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:ListBucket",
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:GetObjectVersion",
                "s3:DeleteObjectVersion",
                "s3:GetBucketPolicy",
                "s3:PutBucketPolicy",
                "s3:PutEncryptionConfiguration"
            ],
            "Resource": [
                "arn:aws-us-gov:s3:::wspool-logs-*",
                "arn:aws-us-gov:s3:::wspool-app-settings-*",
                "arn:aws-us-gov:s3:::wspool-home-folder-*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        }
    ]
}

Actualizaciones de WorkSpaces a las políticas administradas por AWS

Consulte los detalles sobre las actualizaciones de las políticas administradas por AWS para WorkSpaces desde que este servicio comenzó a realizar el seguimiento de estos cambios.

Cambio	Descripción	Fecha
Política administrada de AWS: AmazonWorkSpacesPoolServiceAccess: Añadió una nueva política.	WorkSpaces ha añadido una nueva política administrada para conceder permisos para ver las VPC de Amazon EC2 y los recursos relacionados, y para ver y administrar los buckets de Amazon S3 en WorkSpaces Pools.	24 de junio de 2024
Política administrada por AWS: AmazonworkspacesAdmin: Política actualizada	WorkSpaces ha añadido varias acciones de WorkSpaces Pools a la política administrada de AmazonWorkSpacesAdmin, concediendo a los administradores acceso para administrar los recursos de WorkSpaces Pools.	24 de junio de 2024
Política administrada por AWS: AmazonworkspacesAdmin: Política actualizada	WorkSpaces ha añadido la acción `workspaces:RestoreWorkspace` a la política administrada por Amazon WorkSpacesAdmin, concediendo a los administradores acceso para restaurar WorkSpaces.	25 de junio de 2023
Política administrada porAWS: AmazonWorkspace/PCAAccess: Añadió una nueva política.	WorkSpaces añadió una nueva política administrada para conceder permiso a `acm-pca` para administrar la CA privada de AWS con el fin de administrar la autenticación basada en certificados.	18 de noviembre de 2022
WorkSpaces comenzó a realizar un seguimiento de los cambios	WorkSpaces comenzó a realizar un seguimiento de los cambios de sus políticas administradas por WorkSpaces.	1 de marzo de 2021

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Identity and Access Management

Acceso a escritorios de WorkSpaces y scripts en instancias de transmisión