Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# AWS políticas gestionadas para WorkSpaces
El uso de políticas AWS administradas hace que añadir permisos a usuarios, grupos y roles sea más fácil que escribir las políticas usted mismo. Se necesita tiempo y experiencia para [crear políticas administradas por el cliente de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) que proporcionen a su equipo solo los permisos necesarios. Usa políticas AWS administradas para empezar rápidamente. Estas políticas cubren casos de uso comunes y están disponibles en tu AWS cuenta. Para obtener más información sobre las políticas AWS administradas, consulte las [políticas AWS administradas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.
AWS los servicios mantienen y AWS actualizan las políticas gestionadas. No puede cambiar los permisos en las políticas AWS gestionadas. En ocasiones, los servicios pueden añadir permisos adicionales a una política AWS gestionada para admitir nuevas funciones. Este tipo de actualización afecta a todas las identidades (usuarios, grupos y roles) donde se asocia la política. Lo más probable es que los servicios actualicen una política AWS administrada cuando se lanza una nueva función o cuando hay nuevas operaciones disponibles. Los servicios no eliminan los permisos de una política AWS administrada, por lo que las actualizaciones de la política no afectarán a los permisos existentes.
Además, AWS admite políticas administradas para funciones laborales que abarcan varios servicios. Por ejemplo, la política `ReadOnlyAccess` AWS gestionada proporciona acceso de solo lectura a todos los AWS servicios y recursos. Cuando un servicio lanza una nueva característica, AWS agrega permisos de solo lectura para las operaciones y los recursos nuevos. Para obtener una lista y descripciones de las políticas de funciones de trabajo, consulte [Políticas administradas de AWS para funciones de trabajo](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en la *Guía del usuario de IAM*.
## AWS política gestionada: AmazonWorkSpacesAdmin
**nota**
Los permisos que se muestran son solo para el SDK y no funcionarán para la consola. La consola requiere los permisos adicionales que figuran en la [referencia de permisos de operaciones de Amazon WorkSpaces Console](wsp-console-permissions-ref.md).
Esta política proporciona acceso a las acciones WorkSpaces administrativas de Amazon. Proporciona los siguientes permisos:
+ `workspaces`- Permite el acceso para realizar acciones administrativas en los recursos WorkSpaces personales y de WorkSpaces Pools.
+ `kms`: Permite acceder a la lista y descripción de claves KMS, así como a la lista de alias.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonWorkSpacesAdmin",
"Effect": "Allow",
"Action": [
"kms:DescribeKey",
"kms:ListAliases",
"kms:ListKeys",
"workspaces:CreateTags",
"workspaces:CreateWorkspaceImage",
"workspaces:CreateWorkspaces",
"workspaces:CreateWorkspacesPool",
"workspaces:CreateStandbyWorkspaces",
"workspaces:DeleteTags",
"workspaces:DeregisterWorkspaceDirectory",
"workspaces:DescribeTags",
"workspaces:DescribeWorkspaceBundles",
"workspaces:DescribeWorkspaceDirectories",
"workspaces:DescribeWorkspaces",
"workspaces:DescribeWorkspacesPools",
"workspaces:DescribeWorkspacesPoolSessions",
"workspaces:DescribeWorkspacesConnectionStatus",
"workspaces:ModifyCertificateBasedAuthProperties",
"workspaces:ModifySamlProperties",
"workspaces:ModifyStreamingProperties",
"workspaces:ModifyWorkspaceCreationProperties",
"workspaces:ModifyWorkspaceProperties",
"workspaces:RebootWorkspaces",
"workspaces:RebuildWorkspaces",
"workspaces:RegisterWorkspaceDirectory",
"workspaces:RestoreWorkspace",
"workspaces:StartWorkspaces",
"workspaces:StartWorkspacesPool",
"workspaces:StopWorkspaces",
"workspaces:StopWorkspacesPool",
"workspaces:TerminateWorkspaces",
"workspaces:TerminateWorkspacesPool",
"workspaces:TerminateWorkspacesPoolSession",
"workspaces:UpdateWorkspacesPool"
],
"Resource": "*"
}
]
}
```
------
## AWS política gestionada: AmazonWorkspaces PCAAccess
Esta política administrada proporciona acceso a los recursos de AWS Certificate Manager Private Certificate Authority (Private CA) de su AWS cuenta para la autenticación basada en certificados. Se incluye en la AmazonWorkSpaces PCAAccess función y proporciona los siguientes permisos:
+ `acm-pca`- Permite el acceso a una CA AWS privada para gestionar la autenticación basada en certificados.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"acm-pca:IssueCertificate",
"acm-pca:GetCertificate",
"acm-pca:DescribeCertificateAuthority"
],
"Resource": "arn:*:acm-pca:*:*:*",
"Condition": {
"StringLike": {
"aws:ResourceTag/euc-private-ca": "*"
}
}
}
]
}
```
------
## AWS política gestionada: AmazonWorkSpacesSelfServiceAccess
Esta política proporciona acceso al WorkSpaces servicio de Amazon para realizar acciones de WorkSpaces autoservicio iniciadas por un usuario. Se incluye en el rol `workspaces_DefaultRole` y proporciona los siguientes permisos:
+ `workspaces`- Permite a los usuarios acceder a las capacidades de WorkSpaces gestión de autoservicio.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"workspaces:RebootWorkspaces",
"workspaces:RebuildWorkspaces",
"workspaces:ModifyWorkspaceProperties"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## AWS política gestionada: AmazonWorkSpacesServiceAccess
Esta política proporciona acceso a la cuenta del cliente al WorkSpaces servicio de Amazon para lanzar un WorkSpace. Se incluye en el rol `workspaces_DefaultRole` y proporciona los siguientes permisos:
+ `ec2`- Permite el acceso para gestionar los recursos de Amazon EC2 asociados a WorkSpace, como las interfaces de red.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface",
"ec2:DescribeNetworkInterfaces"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## AWS política gestionada: AmazonWorkSpacesPoolServiceAccess
Esta política se usa en workspaces\$1DefaultRole, que se WorkSpaces utiliza para acceder a los recursos necesarios en la cuenta de cliente AWS de Pools. WorkSpaces Para obtener más información, consulte [Cree el rol workspaces\$1 DefaultRole](workspaces-access-control.md#create-default-role). Proporciona los siguientes permisos:
+ `ec2`- Permite el acceso para gestionar los recursos de Amazon EC2 asociados a un WorkSpaces grupo, como subredes VPCs, zonas de disponibilidad, grupos de seguridad y tablas de enrutamiento.
+ `s3`: permite el acceso para realizar las acciones necesarias en los buckets de Amazon S3 para los registros, la configuración de las aplicaciones y la característica de carpeta de inicio.
------
#### [ Commercial Regiones de AWS ]
La siguiente política de JSON se aplica al anuncio. Regiones de AWS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ProvisioningWorkSpacesPoolPermissions",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSecurityGroups",
"ec2:DescribeRouteTables",
"s3:ListAllMyBuckets"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "WorkSpacesPoolS3Permissions",
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:ListBucket",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetObjectVersion",
"s3:DeleteObjectVersion",
"s3:GetBucketPolicy",
"s3:PutBucketPolicy",
"s3:PutEncryptionConfiguration"
],
"Resource": [
"arn:aws:s3:::wspool-logs-*",
"arn:aws:s3:::wspool-app-settings-*",
"arn:aws:s3:::wspool-home-folder-*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
------
#### [ AWS GovCloud (US) Regions ]
La siguiente política JSON se aplica a las AWS GovCloud (US) Regions comerciales.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ProvisioningWorkSpacesPoolPermissions",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSecurityGroups",
"ec2:DescribeRouteTables",
"s3:ListAllMyBuckets"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "WorkSpacesPoolS3Permissions",
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:ListBucket",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetObjectVersion",
"s3:DeleteObjectVersion",
"s3:GetBucketPolicy",
"s3:PutBucketPolicy",
"s3:PutEncryptionConfiguration"
],
"Resource": [
"arn:aws-us-gov:s3:::wspool-logs-*",
"arn:aws-us-gov:s3:::wspool-app-settings-*",
"arn:aws-us-gov:s3:::wspool-home-folder-*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
------
## WorkSpaces actualizaciones de las políticas AWS gestionadas
Consulte los detalles sobre las actualizaciones de las políticas AWS administradas WorkSpaces desde que este servicio comenzó a realizar el seguimiento de estos cambios.
| Cambio | Descripción | Fecha |
| --- | --- | --- |
| [AWS política gestionada: AmazonWorkSpacesPoolServiceAccess](#workspaces-pools-service-access): Añadió una nueva política. | WorkSpaces se ha añadido una nueva política gestionada para conceder permisos para ver Amazon EC2 VPCs y los recursos relacionados, y para ver y gestionar los buckets de Amazon S3 para grupos. WorkSpaces | 24 de junio de 2024 |
| [AWS política gestionada: AmazonWorkSpacesAdmin](#workspaces-admin): política actualizada | WorkSpaces agregó varias acciones para los WorkSpaces grupos a la política WorkSpacesAdmin administrada de Amazon, lo que permitió a los administradores acceder a administrar los recursos de los WorkSpace grupos. | 24 de junio de 2024 |
| [AWS política gestionada: AmazonWorkSpacesAdmin](#workspaces-admin): política actualizada | WorkSpaces agregó la workspaces:RestoreWorkspace acción a la política WorkSpacesAdmin gestionada por Amazon, otorgando a los administradores acceso a la restauración WorkSpaces. | 25 de junio de 2023 |
| [AWS política gestionada: AmazonWorkspaces PCAAccess](#workspaces-pca-access): Añadió una nueva política. | WorkSpaces se agregó una nueva política administrada para otorgar acm-pca permiso para administrar la CA AWS privada a fin de administrar la autenticación basada en certificados. | 18 de noviembre de 2022 |
| WorkSpaces comenzó a rastrear los cambios | WorkSpaces comenzó a realizar un seguimiento de los cambios de sus políticas WorkSpaces gestionadas. | 1 de marzo de 2021 |