Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Seguridad en Amazon WorkSpaces
La seguridad en la nube AWS es la máxima prioridad. Como AWS cliente, usted se beneficia de una arquitectura de centro de datos y red diseñada para cumplir con los requisitos de las organizaciones más sensibles a la seguridad.
La seguridad es una responsabilidad compartida entre usted AWS y usted. El [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) la describe como seguridad *de* la nube y seguridad *en* la nube:
+ **Seguridad de la nube**: AWS es responsable de proteger la infraestructura que ejecuta AWS los servicios en la Nube de AWS. AWS también le proporciona servicios que puede utilizar de forma segura. Los auditores externos prueban y verifican periódicamente la eficacia de nuestra seguridad como parte de los [AWS programas](https://aws.amazon.com/compliance/programs/) de de . Para obtener más información sobre los programas de conformidad que se aplican a Amazon WorkSpaces, consulta [AWS Servicios en el ámbito de aplicación por programa de conformidad AWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Seguridad en la nube**: tu responsabilidad viene determinada por el AWS servicio que utilices. También es responsable de otros factores, incluida la confidencialidad de los datos, los requisitos de la empresa y la legislación y los reglamentos aplicables
Esta documentación le ayuda a comprender cómo aplicar el modelo de responsabilidad compartida cuando se utiliza WorkSpaces. Los siguientes temas muestran cómo configurarlo WorkSpaces para cumplir sus objetivos de seguridad y conformidad. También aprenderá a utilizar otros AWS servicios que le ayudan a supervisar y proteger sus WorkSpaces recursos.
**Topics**
+ [Protección de datos en Amazon WorkSpaces](data-protection.md)
+ [Administración de identidad y acceso para WorkSpaces](workspaces-access-control.md)
+ [Validación de conformidad para Amazon WorkSpaces](compliance-validation.md)
+ [Resiliencia en Amazon WorkSpaces](disaster-recovery-resiliency.md)
+ [Seguridad de infraestructuras en Amazon WorkSpaces](infrastructure-security.md)
+ [Administración de actualizaciones en WorkSpaces](update-management.md)
# Protección de datos en Amazon WorkSpaces
El [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) de AWS se aplica a la protección de datos en Amazon WorkSpaces. Como se describe en este modelo, AWS es responsable de proteger la infraestructura global que ejecuta toda la Nube de AWS. Eres responsable de mantener el control sobre el contenido alojado en esta infraestructura. También eres responsable de las tareas de administración y configuración de seguridad para los Servicios de AWS que utiliza. Para obtener más información sobre la privacidad de los datos, consulta las [Preguntas frecuentes sobre la privacidad de datos](https://aws.amazon.com/compliance/data-privacy-faq/). Para obtener información sobre la protección de datos en Europa, consulta la publicación de blog sobre el [Modelo de responsabilidad compartida de AWS y GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) en el * Blog de seguridad de AWS*.
Con fines de protección de datos, recomendamos proteger las credenciales de la Cuenta de AWS y configurar cuentas de usuario individuales con AWS IAM Identity Center o AWS Identity and Access Management (IAM). De esta manera, solo se otorgan a cada usuario los permisos necesarios para cumplir sus obligaciones laborales. También recomendamos proteger sus datos de la siguiente manera:
+ Utiliza la autenticación multifactor (MFA) en cada cuenta.
+ Utiliza SSL/TLS para comunicarse con los recursos de AWS. Se recomienda el uso de TLS 1.2 y recomendamos TLS 1.3.
+ Configure los registros de API y de actividad de los usuarios con AWS CloudTrail. Para obtener información sobre cómo utilizar registros de seguimiento de CloudTrail para capturar actividades de AWS, consulta [Working with CloudTrail trails](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) en la *Guía del usuario de AWS CloudTrail*.
+ Utiliza las soluciones de cifrado de AWS, junto con todos los controles de seguridad predeterminados dentro de los servicios de Servicios de AWS.
+ Utiliza servicios de seguridad administrados avanzados, como Amazon Macie, que lo ayuden a detectar y proteger los datos confidenciales almacenados en Amazon S3.
+ Si necesita módulos criptográficos validados FIPS 140-3 al acceder a AWS a través de una interfaz de línea de comandos o una API, utiliza un punto de conexión de FIPS. Para obtener más información sobre los puntos de conexión de FIPS disponibles, consulta [Estándar de procesamiento de la información federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Se recomienda encarecidamente no introducir nunca información confidencial o sensible, como por ejemplo, direcciones de correo electrónico de clientes, en etiquetas o campos de formato libre, tales como el campo **Nombre**. Incluye cuando trabaja con WorkSpaces u otros servicios de Servicios de AWS mediante la consola, la API, la AWS CLI o los SDK de AWS. Cualquier dato que ingrese en etiquetas o campos de texto de formato libre utilizados para nombres se puede emplear para los registros de facturación o diagnóstico. Si proporciona una URL a un servidor externo, recomendamos encarecidamente que no incluya información de credenciales en la URL a fin de validar la solicitud para ese servidor.
Para obtener más información sobre WorkSpaces y el cifrado del punto de conexión FIPS, consulte [Configure la autorización de FedRAMP o el cumplimiento de las normas SRG del DoD para personal WorkSpaces](fips-encryption.md)
## Cifrado en reposo
Puede cifrar los volúmenes de almacenamiento para sus WorkSpaces utilizando AWS KMS clave de AWS Key Management Service. Para obtener más información, consulte [WorkSpaces Cifrado en WorkSpaces modo personal](encrypt-workspaces.md).
Al crear escritorios de WorkSpaces con volúmenes cifrados, WorkSpaces utiliza Amazon Elastic Block Store (Amazon EBS) para crear y administrar los volúmenes. EBS cifra los volúmenes con una clave de datos que utiliza el algoritmo estándar AES-256. Para obtener más información, consulte [Cifrado de Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html) en la *Guía del usuario de Amazon EC2*.
## Cifrado en tránsito
En el caso de los PCoIP, los datos en tránsito se cifran mediante encriptación TLS 1.2 y firma de solicitud SigV4. El protocolo PCoIP utiliza tráfico UDP cifrado, con cifrado AES, para la transmisión de píxeles. La conexión de transmisión, que utiliza el puerto 4172 (TCP y UDP), se cifra mediante cifrados AES-128 y AES-256, pero el cifrado por defecto es de 128 bits. Puede cambiar este valor predeterminado a 256 bits, ya sea mediante el ajuste **Configurar los ajustes de seguridad de PCoIP** Configuración de la política de grupo de WorkSpaces para Windows, o modificando la **configuración de seguridad de PCoIP** en el archivo `pcoip-agent.conf` para WorkSpaces de Amazon Linux.
Para obtener más información sobre la administración de políticas de grupo para Amazon WorkSpaces, consulte [Configure los ajustes de seguridad PCo IP](group_policy.md#gp_security) en [Administre su Windows WorkSpaces en WorkSpaces Personal](group_policy.md). Para obtener más información sobre la modificación del archivo `pcoip-agent.conf` consulte, [Controle el comportamiento del agente PCo IP en Amazon Linux WorkSpaces](manage_linux_workspace.md#pcoip_agent_linux) y [Configuración de seguridad de PCoIP](https://www.teradici.com/web-help/pcoip_agent/standard_agent/linux/21.03/admin-guide/configuring/configuring/#pcoip-security-settings) en la documentación de Teradici.
Para DCV, los datos en tránsito de transmisión y control se cifran mediante el cifrado TLS 1.3 para el tráfico UDP y el cifrado TLS 1.2 para el tráfico TCP, con cifrados AES-256.
# Administración de identidad y acceso para WorkSpaces
De forma predeterminada, los usuarios de IAM no tienen permisos para los WorkSpaces recursos y las operaciones. Para permitir que los usuarios de IAM administren WorkSpaces los recursos, debe crear una política de IAM que les conceda permisos de forma explícita y adjuntar la política a los usuarios o grupos de IAM que necesiten esos permisos.
**nota**
Amazon WorkSpaces no admite el aprovisionamiento de credenciales de IAM en un WorkSpace (por ejemplo, con un perfil de instancia).
Para dar acceso, agregue permisos a los usuarios, grupos o roles:
+ Usuarios y grupos en: AWS IAM Identity Center
Cree un conjunto de permisos. Siga las instrucciones de [Creación de un conjunto de permisos](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) en la *Guía del usuario de AWS IAM Identity Center *.
+ Usuarios gestionados en IAM a través de un proveedor de identidades:
Cree un rol para la federación de identidades. Siga las instrucciones descritas en [Creación de un rol para un proveedor de identidad de terceros (federación)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) en la *Guía del usuario de IAM*.
+ Usuarios de IAM:
+ Cree un rol que el usuario pueda aceptar. Siga las instrucciones descritas en [Creación de un rol para un usuario de IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) en la *Guía del usuario de IAM*.
+ (No recomendado) Adjunte una política directamente a un usuario o agregue un usuario a un grupo de usuarios. Siga las instrucciones descritas en [Adición de permisos a un usuario (consola)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) de la *Guía del usuario de IAM*.
A continuación se enumeran recursos adicionales de IAM:
+ Para obtener más información sobre las políticas de IAM, consulte [Políticas y permisos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) en la *Guía del usuario de IAM*.
+ Para obtener más información sobre IAM, consulte [Administración de identidades y acceso (IAM)](https://aws.amazon.com/iam) y la [https://docs.aws.amazon.com/IAM/latest/UserGuide/](https://docs.aws.amazon.com/IAM/latest/UserGuide/).
+ Para obtener más información sobre recursos, acciones y claves de contexto de condiciones WorkSpaces específicos para su uso en las políticas de permisos de IAM, consulte [Acciones, recursos y claves de condición para Amazon WorkSpaces](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonworkspaces.html) en la Guía del usuario de *IAM*.
+ Para obtener una herramienta que le ayude a crear políticas de IAM, consulte [Generador de políticas de AWS](https://aws.amazon.com/blogs/aws/aws-policy-generator/). También puede utilizar el [simulador de política de IAM](https://docs.aws.amazon.com/IAM/latest/UsingPolicySimulatorGuide/) para probar si una política permitiría o denegaría una solicitud específica a AWS.
**Topics**
+ [Ejemplos de políticas](#workspaces-example-iam-policies)
+ [Especifique los WorkSpaces recursos en una política de IAM](#wsp_iam_resource)
+ [Cree el rol workspaces\$1 DefaultRole](#create-default-role)
+ [Cree el rol de servicio AmazonWorkSpaces PCAAccess](#create-pca-access-role)
+ [AWS políticas gestionadas para WorkSpaces](managed-policies.md)
+ [Acceso a las instancias de streaming WorkSpaces y a los scripts de las mismas](using-iam-roles-to-grant-permissions-to-applications-scripts-streaming-instances.md)
+ [Referencia de permisos de operaciones de la consola de Amazon WorkSpaces](wsp-console-permissions-ref.md)
## Ejemplos de políticas
Los siguientes ejemplos muestran declaraciones de políticas que puedes usar para controlar los permisos que los usuarios de IAM tienen en Amazon WorkSpaces.
### Ejemplo 1: conceder acceso para realizar tareas WorkSpaces personales y grupales
La siguiente declaración de política otorga a un usuario de IAM permiso para realizar tareas WorkSpaces personales y de grupos.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:*",
"workspaces:*",
"application-autoscaling:DeleteScalingPolicy",
"application-autoscaling:DeleteScheduledAction",
"application-autoscaling:DeregisterScalableTarget",
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"application-autoscaling:PutScalingPolicy",
"application-autoscaling:PutScheduledAction",
"application-autoscaling:RegisterScalableTarget",
"cloudwatch:DeleteAlarms",
"cloudwatch:DescribeAlarms",
"cloudwatch:PutMetricAlarm",
"ec2:AssociateRouteTable",
"ec2:AttachInternetGateway",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateInternetGateway",
"ec2:CreateNetworkInterface",
"ec2:CreateRoute",
"ec2:CreateRouteTable",
"ec2:CreateSecurityGroup",
"ec2:CreateSubnet",
"ec2:CreateTags",
"ec2:CreateVpc",
"ec2:DeleteNetworkInterface",
"ec2:DeleteSecurityGroup",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeInternetGateways",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"iam:AttachRolePolicy",
"iam:CreatePolicy",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:PutRolePolicy",
"kms:ListAliases",
"kms:ListKeys",
"secretsmanager:ListSecrets",
"tag:GetResources",
"sso-directory:SearchUsers",
"sso:CreateApplication",
"sso:DeleteApplication",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:GetApplicationGrant",
"sso:ListInstances",
"sso:PutApplicationAssignmentConfiguration",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "workspaces.amazonaws.com"
}
}
}
]
}
```
------
### Ejemplo 2: Conceder acceso para realizar tareas WorkSpaces personales
La siguiente declaración de política concede a un usuario de IAM permiso para realizar todas las tareas WorkSpaces personales.
Si bien Amazon admite WorkSpaces plenamente los `Resource` elementos `Action` y cuando utiliza la API y las herramientas de línea de comandos, para utilizar Amazon WorkSpaces desde el Consola de administración de AWS, un usuario de IAM debe tener permisos para las siguientes acciones y recursos:
+ Acciones: `"ds:*"`
+ Recursos: `"Resource": "*"`
El siguiente ejemplo de política muestra cómo permitir que un usuario de IAM utilice Amazon WorkSpaces desde. Consola de administración de AWS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"workspaces:*",
"ds:*",
"iam:GetRole",
"iam:CreateRole",
"iam:PutRolePolicy",
"iam:CreatePolicy",
"iam:AttachRolePolicy",
"iam:ListRoles",
"kms:ListAliases",
"kms:ListKeys",
"ec2:CreateVpc",
"ec2:CreateSubnet",
"ec2:CreateNetworkInterface",
"ec2:CreateInternetGateway",
"ec2:CreateRouteTable",
"ec2:CreateRoute",
"ec2:CreateTags",
"ec2:CreateSecurityGroup",
"ec2:DescribeInternetGateways",
"ec2:DescribeSecurityGroups",
"ec2:DescribeRouteTables",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeAvailabilityZones",
"ec2:AttachInternetGateway",
"ec2:AssociateRouteTable",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:DeleteSecurityGroup",
"ec2:DeleteNetworkInterface",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"secretsmanager:ListSecrets",
"sso-directory:SearchUsers",
"sso:CreateApplication",
"sso:DeleteApplication",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:GetApplicationGrant",
"sso:ListInstances",
"sso:PutApplicationAssignmentConfiguration",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "workspaces.amazonaws.com"
}
}
}
]
}
```
------
### Ejemplo 3: Conceder acceso para realizar tareas de WorkSpaces Pools
La siguiente declaración de política otorga a un usuario de IAM permiso para realizar todas las tareas de WorkSpaces Pools.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"workspaces:*",
"application-autoscaling:DeleteScalingPolicy",
"application-autoscaling:DeleteScheduledAction",
"application-autoscaling:DeregisterScalableTarget",
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"application-autoscaling:PutScalingPolicy",
"application-autoscaling:PutScheduledAction",
"application-autoscaling:RegisterScalableTarget",
"cloudwatch:DeleteAlarms",
"cloudwatch:DescribeAlarms",
"cloudwatch:PutMetricAlarm",
"ec2:CreateSecurityGroup",
"ec2:CreateTags",
"ec2:DescribeInternetGateways",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"iam:AttachRolePolicy",
"iam:CreatePolicy",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:PutRolePolicy",
"secretsmanager:ListSecrets",
"tag:GetResources"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "workspaces.amazonaws.com"
}
}
},
{
"Action": "iam:CreateServiceLinkedRole",
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/aws-service-role/workspaces.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_WorkSpacesPool",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "workspaces.application-autoscaling.amazonaws.com"
}
}
}
]
}
```
------
### Ejemplo 4: Realizar todas las WorkSpaces tareas para BYOL WorkSpaces
La siguiente declaración de política concede a un usuario de IAM permiso para realizar todas WorkSpaces las tareas, incluidas las tareas de Amazon EC2 necesarias para crear la licencia Bring Your Own License (BYOL). WorkSpaces
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:*",
"workspaces:*",
"ec2:AssociateRouteTable",
"ec2:AttachInternetGateway",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateInternetGateway",
"ec2:CreateNetworkInterface",
"ec2:CreateRoute",
"ec2:CreateRouteTable",
"ec2:CreateSecurityGroup",
"ec2:CreateSubnet",
"ec2:CreateTags",
"ec2:CreateVpc",
"ec2:DeleteNetworkInterface",
"ec2:DeleteSecurityGroup",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeImages",
"ec2:DescribeInternetGateways",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:ModifyImageAttribute",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"iam:CreateRole",
"iam:GetRole",
"iam:PutRolePolicy",
"kms:ListAliases",
"kms:ListKeys"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "workspaces.amazonaws.com"
}
}
}
]
}
```
------
## Especifique los WorkSpaces recursos en una política de IAM
Para especificar un WorkSpaces recurso en el `Resource` elemento de la declaración de política, utilice el nombre de recurso de Amazon (ARN) del recurso. Usted controla el acceso a sus WorkSpaces recursos al permitir o denegar los permisos para utilizar las acciones de la API que se especifican en el `Action` elemento de su declaración de política de IAM. WorkSpaces define ARNs los paquetes WorkSpaces, los grupos de IP y los directorios.
### WorkSpace ARN
Un WorkSpace ARN tiene la sintaxis que se muestra en el siguiente ejemplo.
```
arn:aws:workspaces:region:account_id:workspace/workspace_identifier
```
*region*
La región en la que WorkSpace se encuentra (por ejemplo,`us-east-1`).
*account\$1id*
El ID de la AWS cuenta, sin guiones (por ejemplo,`123456789012`).
*identificador\$1espacio\$1trabajo*
El ID de WorkSpace (por ejemplo,`ws-a1bcd2efg`).
El siguiente es el formato del `Resource` elemento de una declaración de política que identifica un elemento específico WorkSpace.
```
"Resource": "arn:aws:workspaces:region:account_id:workspace/workspace_identifier"
```
Puede usar el `*` comodín para especificar todos los WorkSpaces que pertenecen a una cuenta específica en una región específica.
### WorkSpace piscina ARN
Un WorkSpace ARN de grupo tiene la sintaxis que se muestra en el siguiente ejemplo.
```
arn:aws:workspaces:region:account_id:workspacespool/workspacespool_identifier
```
*region*
La región en la que WorkSpace se encuentra (por ejemplo,`us-east-1`).
*account\$1id*
El ID de la AWS cuenta, sin guiones (por ejemplo,`123456789012`).
*workspacespool\$1identifier*
El ID del WorkSpace grupo (por ejemplo,`ws-a1bcd2efg`).
El siguiente es el formato del `Resource` elemento de una declaración de política que identifica un elemento específico WorkSpace.
```
"Resource": "arn:aws:workspaces:region:account_id:workspacespool/workspacespool_identifier"
```
Puede usar el `*` comodín para especificar todos los WorkSpaces que pertenecen a una cuenta específica en una región específica.
### ARN del certificado
Un WorkSpace ARN de certificado tiene la sintaxis que se muestra en el siguiente ejemplo.
```
arn:aws:workspaces:region:account_id:workspacecertificate/workspacecertificateidentifier
```
*region*
La región en la que WorkSpace se encuentra (por ejemplo,`us-east-1`).
*account\$1id*
El ID de la AWS cuenta, sin guiones (por ejemplo,`123456789012`).
*workspacecertificate\$1identifier*
El ID del WorkSpace certificado (por ejemplo,`ws-a1bcd2efg`).
El siguiente es el formato del `Resource` elemento de una declaración de política que identifica un WorkSpace certificado específico.
```
"Resource": "arn:aws:workspaces:region:account_id:workspacecertificate/workspacecertificate_identifier"
```
Puede usar el `*` comodín para especificar todos los WorkSpaces que pertenecen a una cuenta específica en una región específica.
### ARN de imagen
El ARN WorkSpace de una imagen tiene la sintaxis que se muestra en el siguiente ejemplo.
```
arn:aws:workspaces:region:account_id:workspaceimage/image_identifier
```
*region*
La región en la que se encuentra la WorkSpace imagen (por ejemplo,`us-east-1`).
*account\$1id*
El ID de la AWS cuenta, sin guiones (por ejemplo,`123456789012`).
*identificador\$1paquete*
El ID de la WorkSpace imagen (por ejemplo,`wsi-a1bcd2efg`).
Este es el formato del elemento `Resource` de una instrucción de política que identifica una imagen específica.
```
"Resource": "arn:aws:workspaces:region:account_id:workspaceimage/image_identifier"
```
Puede utilizar el carácter comodín `*` para especificar todas las imágenes que pertenecen a una cuenta específica en una región específica.
### ARN de paquete
Los ARN de los paquetes tienen la sintaxis que se muestra en el siguiente ejemplo.
```
arn:aws:workspaces:region:account_id:workspacebundle/bundle_identifier
```
*region*
La región en la que WorkSpace se encuentra (por ejemplo,`us-east-1`).
*account\$1id*
El ID de la AWS cuenta, sin guiones (por ejemplo,`123456789012`).
*identificador\$1paquete*
El ID del WorkSpace paquete (por ejemplo,`wsb-a1bcd2efg`).
Este es el formato del elemento `Resource` de una instrucción de política que identifica un paquete específico.
```
"Resource": "arn:aws:workspaces:region:account_id:workspacebundle/bundle_identifier"
```
Puede utilizar el comodín `*` para especificar todos los paquetes que pertenecen a una cuenta específica en una región específica.
### ARN de grupo de IP
Los ARN de los grupos de IP tienen la sintaxis que se muestra en el ejemplo siguiente.
```
arn:aws:workspaces:region:account_id:workspaceipgroup/ipgroup_identifier
```
*region*
La región en la que WorkSpace se encuentra (por ejemplo,`us-east-1`).
*account\$1id*
El ID de la AWS cuenta, sin guiones (por ejemplo,`123456789012`).
*grupoip\$1identificador*
ID del grupo de IP (por ejemplo, `wsipg-a1bcd2efg`).
Este es el formato del elemento `Resource` de una instrucción de política que identifica un grupo de IP específico.
```
"Resource": "arn:aws:workspaces:region:account_id:workspaceipgroup/ipgroup_identifier"
```
Puede utilizar el carácter comodín `*` para especificar todos los grupos de IP que pertenecen a una cuenta específica en una región específica.
### ARN de directorio
Los ARN de los directorios tienen la sintaxis que se muestra en el ejemplo siguiente.
```
arn:aws:workspaces:region:account_id:directory/directory_identifier
```
*region*
La región en la que WorkSpace se encuentra (por ejemplo,`us-east-1`).
*account\$1id*
El ID de la AWS cuenta, sin guiones (por ejemplo,`123456789012`).
*directorio\$1identificador*
ID del directorio (por ejemplo, `d-12345a67b8`).
Este es el formato del elemento `Resource` de una instrucción de política que identifica un directorio específico.
```
"Resource": "arn:aws:workspaces:region:account_id:directory/directory_identifier"
```
Puede utilizar el carácter comodín para especificar todos los directorios que pertenecen a una cuenta específica en una región específica.
### Alias de conexión ARN
Un alias de conexión ARN tiene la sintaxis que se muestra en el siguiente ejemplo.
```
arn:aws:workspaces:region:account_id:connectionalias/connectionalias_identifier
```
*region*
La región en la que se encuentra el alias de conexión (por ejemplo,`us-east-1`).
*account\$1id*
El ID de la AWS cuenta, sin guiones (por ejemplo,). `123456789012`
*connectionalias\$1identifier*
El ID del alias de conexión (por ejemplo, `wsca-12345a67b8`).
Este es el formato del elemento `Resource` de una instrucción de política que identifica un alias de conexión específico.
```
"Resource": "arn:aws:workspaces:region:account_id:connectionalias/connectionalias_identifier"
```
Puede utilizar el carácter comodín `*` para especificar todos los alias de conexión que pertenecen a una cuenta específica en una región específica.
### Acciones de API que no admiten los permisos a nivel de recursos
No puede especificar el ARN de un recurso con las siguientes acciones de API:
+ `AssociateIpGroups`
+ `CreateIpGroup`
+ `CreateTags`
+ `DeleteTags`
+ `DeleteWorkspaceImage`
+ `DescribeAccount`
+ `DescribeAccountModifications`
+ `DescribeIpGroups`
+ `DescribeTags`
+ `DescribeWorkspaceDirectories`
+ `DescribeWorkspaceImages`
+ `DescribeWorkspaces`
+ `DescribeWorkspacesConnectionStatus`
+ `DisassociateIpGroups`
+ `ImportWorkspaceImage`
+ `ListAvailableManagementCidrRanges`
+ `ModifyAccount`
En el caso de las acciones de la API que no admiten los permisos a nivel de recursos, debe especificar la instrucción de recursos que se muestra en el ejemplo siguiente.
```
"Resource": "*"
```
### Acciones de la API que no admiten restricciones en el nivel de cuenta sobre recursos compartidos
Para las siguientes acciones de API, no puede especificar un ID de cuenta en el ARN del recurso cuando el recurso no es propiedad de la cuenta:
+ `AssociateConnectionAlias`
+ `CopyWorkspaceImage`
+ `DisassociateConnectionAlias`
Para estas acciones de la API, puedes especificar un ID de cuenta en el ARN del recurso solo cuando esa cuenta sea propietaria de los recursos sobre los que se va a actuar. Cuando la cuenta no es propietaria de los recursos, debe especificar `*` para el ID de cuenta, tal y como se muestra en el siguiente ejemplo.
```
"arn:aws:workspaces:region:*:resource_type/resource_identifier"
```
## Cree el rol workspaces\$1 DefaultRole
Antes de poder registrar un directorio mediante la API, debe comprobar que existe un rol denominado `workspaces_DefaultRole`. Esta función la crea la configuración rápida o, si lanzas una WorkSpace con Consola de administración de AWS, y otorga a Amazon WorkSpaces permiso para acceder a AWS recursos específicos en tu nombre. Si este rol no existe, puede crearlo mediante el siguiente procedimiento.
**Para crear el rol workspaces\$1 DefaultRole**
1. Inicie sesión en la consola de Consola de administración de AWS IAM y ábrala en. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. En el panel de navegación de la izquierda, seleccione **Roles**.
1. Elija **Crear rol**.
1. En **Seleccione el tipo de entidad de confianza**, elija **Otra cuenta de AWS **.
1. En **Account ID (ID de cuenta)**, escriba el ID de la cuenta sin guiones ni espacios.
1. En **Options (Opciones)**, no especifique multi-factor authentication (MFA).
1. Elija **Siguiente: permisos**.
1. En la página **Adjuntar políticas de permisos**, seleccione las políticas AWS **AmazonWorkSpacesServiceAccess**AmazonWorkSpacesSelfServiceAccess****administradas y **AmazonWorkSpacesPoolServiceAccess**. Para obtener más información sobre estas políticas administradas, consulte [AWS políticas gestionadas para WorkSpaces](managed-policies.md).
1. En **Establecer límite de permisos**, se recomienda que no utilice un límite de permisos debido a la posibilidad de conflictos con las políticas asociadas a este rol. Estos conflictos podrían bloquear ciertos permisos necesarios para el rol.
1. Elija **Siguiente: etiquetas**.
1. En la página **Add tags (optional) [Agregar etiquetas (opcional)]**, añada las etiquetas que correspondan.
1. Elija **Siguiente: Revisar**.
1. En la página **Revisión**, en **Nombre del rol**, ingrese **workspaces\$1DefaultRole**.
1. (Opcional) En **Role description (Descripción del rol)**, escriba una descripción.
1. Seleccione **Crear rol**.
1. En la página de **resumen** del DefaultRole rol workspaces\$1, seleccione la pestaña Relaciones de **confianza**.
1. En la pestaña **Trust relationships (Relaciones de confianza)**, elija **Edit trust relationship (Editar relación de confianza)**.
1. En la página **Edit Trust Relationship (Editar relación de confianza)**, sustituya la instrucción de política existente por la siguiente instrucción.
```
{
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "workspaces.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
1. Elija **Actualizar política de confianza**.
## Cree el rol de servicio AmazonWorkSpaces PCAAccess
Antes de que los usuarios puedan iniciar sesión mediante la autenticación basada en certificados, debe comprobar que existe un rol denominado `AmazonWorkSpacesPCAAccess`. Este rol se crea cuando habilitas la autenticación basada en certificados en un directorio mediante el Consola de administración de AWS, y otorga a Amazon WorkSpaces permiso para acceder a AWS Private CA los recursos en tu nombre. Si este rol no existe porque no utiliza la consola para administrar la autenticación basada en certificados, puede crearlo mediante el siguiente procedimiento.
**Para crear el rol de AmazonWorkSpaces PCAAccess servicio mediante el AWS CLI**
1. Cree un archivo JSON llamado `AmazonWorkSpacesPCAAccess.json` con el siguiente texto.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "prod.euc.ecm.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Ajuste la `AmazonWorkSpacesPCAAccess.json` ruta según sea necesario y ejecute los siguientes AWS CLI comandos para crear el rol de servicio y adjuntar la política [AmazonWorkspacesPCAAccess](managed-policies.md#workspaces-pca-access)gestionada.
```
aws iam create-role --path /service-role/ --role-name AmazonWorkSpacesPCAAccess --assume-role-policy-document file://AmazonWorkSpacesPCAAccess.json
```
```
aws iam attach-role-policy —role-name AmazonWorkSpacesPCAAccess —policy-arn arn:aws:iam::aws:policy/AmazonWorkspacesPCAAccess
```
# AWS políticas gestionadas para WorkSpaces
El uso de políticas AWS administradas hace que añadir permisos a usuarios, grupos y roles sea más fácil que escribir las políticas usted mismo. Se necesita tiempo y experiencia para [crear políticas administradas por el cliente de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) que proporcionen a su equipo solo los permisos necesarios. Usa políticas AWS administradas para empezar rápidamente. Estas políticas cubren casos de uso comunes y están disponibles en tu AWS cuenta. Para obtener más información sobre las políticas AWS administradas, consulte las [políticas AWS administradas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.
AWS los servicios mantienen y AWS actualizan las políticas gestionadas. No puede cambiar los permisos en las políticas AWS gestionadas. En ocasiones, los servicios pueden añadir permisos adicionales a una política AWS gestionada para admitir nuevas funciones. Este tipo de actualización afecta a todas las identidades (usuarios, grupos y roles) donde se asocia la política. Lo más probable es que los servicios actualicen una política AWS administrada cuando se lanza una nueva función o cuando hay nuevas operaciones disponibles. Los servicios no eliminan los permisos de una política AWS administrada, por lo que las actualizaciones de la política no afectarán a los permisos existentes.
Además, AWS admite políticas administradas para funciones laborales que abarcan varios servicios. Por ejemplo, la política `ReadOnlyAccess` AWS gestionada proporciona acceso de solo lectura a todos los AWS servicios y recursos. Cuando un servicio lanza una nueva característica, AWS agrega permisos de solo lectura para las operaciones y los recursos nuevos. Para obtener una lista y descripciones de las políticas de funciones de trabajo, consulte [Políticas administradas de AWS para funciones de trabajo](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en la *Guía del usuario de IAM*.
## AWS política gestionada: AmazonWorkSpacesAdmin
**nota**
Los permisos que se muestran son solo para el SDK y no funcionarán para la consola. La consola requiere los permisos adicionales que figuran en la [referencia de permisos de operaciones de Amazon WorkSpaces Console](wsp-console-permissions-ref.md).
Esta política proporciona acceso a las acciones WorkSpaces administrativas de Amazon. Proporciona los siguientes permisos:
+ `workspaces`- Permite el acceso para realizar acciones administrativas en los recursos WorkSpaces personales y de WorkSpaces Pools.
+ `kms`: Permite acceder a la lista y descripción de claves KMS, así como a la lista de alias.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonWorkSpacesAdmin",
"Effect": "Allow",
"Action": [
"kms:DescribeKey",
"kms:ListAliases",
"kms:ListKeys",
"workspaces:CreateTags",
"workspaces:CreateWorkspaceImage",
"workspaces:CreateWorkspaces",
"workspaces:CreateWorkspacesPool",
"workspaces:CreateStandbyWorkspaces",
"workspaces:DeleteTags",
"workspaces:DeregisterWorkspaceDirectory",
"workspaces:DescribeTags",
"workspaces:DescribeWorkspaceBundles",
"workspaces:DescribeWorkspaceDirectories",
"workspaces:DescribeWorkspaces",
"workspaces:DescribeWorkspacesPools",
"workspaces:DescribeWorkspacesPoolSessions",
"workspaces:DescribeWorkspacesConnectionStatus",
"workspaces:ModifyCertificateBasedAuthProperties",
"workspaces:ModifySamlProperties",
"workspaces:ModifyStreamingProperties",
"workspaces:ModifyWorkspaceCreationProperties",
"workspaces:ModifyWorkspaceProperties",
"workspaces:RebootWorkspaces",
"workspaces:RebuildWorkspaces",
"workspaces:RegisterWorkspaceDirectory",
"workspaces:RestoreWorkspace",
"workspaces:StartWorkspaces",
"workspaces:StartWorkspacesPool",
"workspaces:StopWorkspaces",
"workspaces:StopWorkspacesPool",
"workspaces:TerminateWorkspaces",
"workspaces:TerminateWorkspacesPool",
"workspaces:TerminateWorkspacesPoolSession",
"workspaces:UpdateWorkspacesPool"
],
"Resource": "*"
}
]
}
```
------
## AWS política gestionada: AmazonWorkspaces PCAAccess
Esta política administrada proporciona acceso a los recursos de AWS Certificate Manager Private Certificate Authority (Private CA) de su AWS cuenta para la autenticación basada en certificados. Se incluye en la AmazonWorkSpaces PCAAccess función y proporciona los siguientes permisos:
+ `acm-pca`- Permite el acceso a una CA AWS privada para gestionar la autenticación basada en certificados.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"acm-pca:IssueCertificate",
"acm-pca:GetCertificate",
"acm-pca:DescribeCertificateAuthority"
],
"Resource": "arn:*:acm-pca:*:*:*",
"Condition": {
"StringLike": {
"aws:ResourceTag/euc-private-ca": "*"
}
}
}
]
}
```
------
## AWS política gestionada: AmazonWorkSpacesSelfServiceAccess
Esta política proporciona acceso al WorkSpaces servicio de Amazon para realizar acciones de WorkSpaces autoservicio iniciadas por un usuario. Se incluye en el rol `workspaces_DefaultRole` y proporciona los siguientes permisos:
+ `workspaces`- Permite a los usuarios acceder a las capacidades de WorkSpaces gestión de autoservicio.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"workspaces:RebootWorkspaces",
"workspaces:RebuildWorkspaces",
"workspaces:ModifyWorkspaceProperties"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## AWS política gestionada: AmazonWorkSpacesServiceAccess
Esta política proporciona acceso a la cuenta del cliente al WorkSpaces servicio de Amazon para lanzar un WorkSpace. Se incluye en el rol `workspaces_DefaultRole` y proporciona los siguientes permisos:
+ `ec2`- Permite el acceso para gestionar los recursos de Amazon EC2 asociados a WorkSpace, como las interfaces de red.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface",
"ec2:DescribeNetworkInterfaces"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## AWS política gestionada: AmazonWorkSpacesPoolServiceAccess
Esta política se usa en workspaces\$1DefaultRole, que se WorkSpaces utiliza para acceder a los recursos necesarios en la cuenta de cliente AWS de Pools. WorkSpaces Para obtener más información, consulte [Cree el rol workspaces\$1 DefaultRole](workspaces-access-control.md#create-default-role). Proporciona los siguientes permisos:
+ `ec2`- Permite el acceso para gestionar los recursos de Amazon EC2 asociados a un WorkSpaces grupo, como subredes VPCs, zonas de disponibilidad, grupos de seguridad y tablas de enrutamiento.
+ `s3`: permite el acceso para realizar las acciones necesarias en los buckets de Amazon S3 para los registros, la configuración de las aplicaciones y la característica de carpeta de inicio.
------
#### [ Commercial Regiones de AWS ]
La siguiente política de JSON se aplica al anuncio. Regiones de AWS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ProvisioningWorkSpacesPoolPermissions",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSecurityGroups",
"ec2:DescribeRouteTables",
"s3:ListAllMyBuckets"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "WorkSpacesPoolS3Permissions",
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:ListBucket",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetObjectVersion",
"s3:DeleteObjectVersion",
"s3:GetBucketPolicy",
"s3:PutBucketPolicy",
"s3:PutEncryptionConfiguration"
],
"Resource": [
"arn:aws:s3:::wspool-logs-*",
"arn:aws:s3:::wspool-app-settings-*",
"arn:aws:s3:::wspool-home-folder-*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
------
#### [ AWS GovCloud (US) Regions ]
La siguiente política JSON se aplica a las AWS GovCloud (US) Regions comerciales.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ProvisioningWorkSpacesPoolPermissions",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSecurityGroups",
"ec2:DescribeRouteTables",
"s3:ListAllMyBuckets"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "WorkSpacesPoolS3Permissions",
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:ListBucket",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetObjectVersion",
"s3:DeleteObjectVersion",
"s3:GetBucketPolicy",
"s3:PutBucketPolicy",
"s3:PutEncryptionConfiguration"
],
"Resource": [
"arn:aws-us-gov:s3:::wspool-logs-*",
"arn:aws-us-gov:s3:::wspool-app-settings-*",
"arn:aws-us-gov:s3:::wspool-home-folder-*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
------
## WorkSpaces actualizaciones de las políticas AWS gestionadas
Consulte los detalles sobre las actualizaciones de las políticas AWS administradas WorkSpaces desde que este servicio comenzó a realizar el seguimiento de estos cambios.
| Cambio | Descripción | Fecha |
| --- | --- | --- |
| [AWS política gestionada: AmazonWorkSpacesPoolServiceAccess](#workspaces-pools-service-access): Añadió una nueva política. | WorkSpaces se ha añadido una nueva política gestionada para conceder permisos para ver Amazon EC2 VPCs y los recursos relacionados, y para ver y gestionar los buckets de Amazon S3 para grupos. WorkSpaces | 24 de junio de 2024 |
| [AWS política gestionada: AmazonWorkSpacesAdmin](#workspaces-admin): política actualizada | WorkSpaces agregó varias acciones para los WorkSpaces grupos a la política WorkSpacesAdmin administrada de Amazon, lo que permitió a los administradores acceder a administrar los recursos de los WorkSpace grupos. | 24 de junio de 2024 |
| [AWS política gestionada: AmazonWorkSpacesAdmin](#workspaces-admin): política actualizada | WorkSpaces agregó la workspaces:RestoreWorkspace acción a la política WorkSpacesAdmin gestionada por Amazon, otorgando a los administradores acceso a la restauración WorkSpaces. | 25 de junio de 2023 |
| [AWS política gestionada: AmazonWorkspaces PCAAccess](#workspaces-pca-access): Añadió una nueva política. | WorkSpaces se agregó una nueva política administrada para otorgar acm-pca permiso para administrar la CA AWS privada a fin de administrar la autenticación basada en certificados. | 18 de noviembre de 2022 |
| WorkSpaces comenzó a rastrear los cambios | WorkSpaces comenzó a realizar un seguimiento de los cambios de sus políticas WorkSpaces gestionadas. | 1 de marzo de 2021 |
# Acceso a las instancias de streaming WorkSpaces y a los scripts de las mismas
Las aplicaciones y los scripts que se ejecutan en las instancias de WorkSpaces streaming deben incluir AWS credenciales en sus solicitudes de AWS API. Puede crear un rol de IAM para administrar estas credenciales. Un rol de IAM especifica un conjunto de permisos que puedes usar para acceder a AWS los recursos. Sin embargo, este rol no se asocia de manera exclusiva a una persona. En su lugar, puede asumirlo cualquier usuario que lo necesite.
Puede aplicar un rol de IAM a una instancia de WorkSpaces streaming. Cuando la instancia de streaming cambia al rol (lo asume), el rol proporciona credenciales de seguridad temporales. La aplicación o los scripts utilizan estas credenciales para realizar acciones de API y tareas de administración en la instancia de streaming. WorkSpaces administra el cambio de credenciales temporal por usted.
**Topics**
+ [Mejores prácticas para usar las funciones de IAM con WorkSpaces instancias de streaming](#best-practices-for-using-iam-role-with-streaming-instances)
+ [Configuración de un rol de IAM existente para usarlo con WorkSpaces instancias de streaming](#configuring-existing-iam-role-to-use-with-streaming-instances)
+ [Cómo crear un rol de IAM para usarlo con WorkSpaces instancias de streaming](#how-to-create-iam-role-to-use-with-streaming-instances)
+ [Cómo utilizar el rol de IAM con instancias de WorkSpaces streaming](#how-to-use-iam-role-with-streaming-instances)
## Mejores prácticas para usar las funciones de IAM con WorkSpaces instancias de streaming
Cuando utilices funciones de IAM con instancias de WorkSpaces streaming, te recomendamos que sigas estas prácticas:
+ Limita los permisos que concedes a las acciones y los recursos de la AWS API.
Siga los principios de privilegios mínimos al crear y adjuntar políticas de IAM a las funciones de IAM asociadas a las instancias de WorkSpaces streaming. Cuando utilices una aplicación o un script que requiera acceso a acciones o recursos de la AWS API, determina las acciones y los recursos específicos que se requieren. A continuación, cree políticas que permitan a la aplicación o al script realizar únicamente tales acciones. Para obtener más información, consulte [Concesión de mínimos privilegios](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) en la *Guía del usuario de IAM*.
+ Cree una función de IAM para cada WorkSpaces recurso.
Crear un rol de IAM único para cada WorkSpaces recurso es una práctica que sigue los principios de privilegios mínimos. Esto también le permite modificar los permisos de un recurso sin que ello afecte a otros recursos.
+ Límite dónde se pueden utilizar las credenciales.
Las políticas de IAM le permiten definir las condiciones en las que el rol de IAM se puede utilizar para acceder a un recurso. Por ejemplo, puede incluir condiciones para especificar un rango de direcciones IP desde el que pueden proceder las solicitudes. Esto impide que las credenciales se utilicen fuera de su entorno. Para obtener más información, consulte [Utilizar condiciones de política para mayor seguridad](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#use-policy-conditions) en la *Guía del usuario de IAM*.
## Configuración de un rol de IAM existente para usarlo con WorkSpaces instancias de streaming
En este tema se describe cómo configurar un rol de IAM existente para poder usarlo con. WorkSpaces
**Requisitos previos**
El rol de IAM que desee utilizar WorkSpaces debe cumplir los siguientes requisitos previos:
+ La función de IAM debe estar en la misma cuenta de Amazon Web Services que la instancia de WorkSpaces streaming.
+ El rol de IAM no puede ser un rol de servicio.
+ La política de relaciones de confianza asociada a la función de IAM debe incluir el WorkSpaces servicio como principal. Un *principal* es una entidad AWS que puede realizar acciones y acceder a los recursos. La política también debe incluir la acción `sts:AssumeRole`. Esta configuración de política WorkSpaces se define como una entidad de confianza.
+ Si va a aplicar la función de IAM a WorkSpaces, WorkSpaces debe ejecutar una versión del WorkSpaces agente publicada a partir del 3 de septiembre de 2019. Si va a aplicar la función de IAM a WorkSpaces, WorkSpaces debe utilizar una imagen que utilice una versión del agente publicada en la misma fecha o después.
**Para permitir que el director del WorkSpaces servicio asuma una función de IAM existente**
Para realizar los siguientes pasos, debe iniciar sesión en la cuenta como un usuario de IAM que tenga los permisos necesarios para enumerar y actualizar los roles de IAM. Si no tiene los permisos necesarios, pida al administrador de su cuenta de Amazon Web Services que realice estos pasos en su cuenta o que le conceda los permisos requeridos.
1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Seleccione **Roles** en el panel de navegación.
1. En la lista de roles de su cuenta, elija el nombre del rol que desee modificar.
1. Elija la pestaña **Relaciones de confianza** y, a continuación, **Editar relación de confianza**.
1. En **Policy Document (Documento de política)**, compruebe que la política de relación de confianza incluya la acción `sts:AssumeRole` para la entidad principal del servicio `workspaces.amazonaws.com`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"workspaces.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Cuando haya terminado de editar la política de confianza, elija **Update Trust Policy (Actualizar política de confianza)** para guardar los cambios.
1. El rol de IAM que haya seleccionado se mostrará en la WorkSpaces consola. Este rol concede permisos a las aplicaciones y los scripts para realizar acciones de la API y tareas de administración en las instancias de streaming.
## Cómo crear un rol de IAM para usarlo con WorkSpaces instancias de streaming
En este tema se describe cómo crear un nuevo rol de IAM para que pueda usarlo con WorkSpaces
1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. En el panel de navegación, seleccione **Roles** y luego seleccione **Crear rol**.
1. En **Seleccionar el tipo de entidad de confianza**, elija **Servicio de AWS**.
1. En la lista de AWS servicios, elija **WorkSpaces**.
1. En **Seleccione su caso de uso**, ya está seleccionada la opción **WorkSpaces — Permite que las WorkSpaces instancias llamen a los AWS servicios en su nombre**. Elija **Siguiente: permisos**.
1. Si es posible, seleccione la política que desea utilizar para la política de permisos o elija **Create policy (Crear política)** para abrir una pestaña nueva del navegador y crear una política nueva desde cero. Para obtener más información, consulte el paso 4 del procedimiento [Crear políticas de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start) en la *Guía del usuario de IAM*.
Después de crear la política, cierre esa pestaña y vuelva a la pestaña original. Seleccione la casilla de verificación situada junto a las políticas de permisos que WorkSpaces desee tener.
1. (Opcional) Configure un límite de permisos. Se trata de una característica avanzada que está disponible para los roles de servicio, pero no para los roles vinculados a servicios. Para obtener más información, consulte [Límites de permisos para las entidades de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) en la *Guía del usuario de IAM*.
1. Elija **Siguiente: etiquetas**. Opcionalmente, puede asociar etiquetas como pares de clave-valor. Para obtener más información, consulte [Etiquetado de usuarios y roles de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) en la *Guía del usuario de IAM*.
1. Elija **Siguiente: Revisar**.
1. En **Nombre de rol**, escriba un nombre de rol único en su cuenta de Amazon Web Services. Como otros AWS recursos pueden hacer referencia al rol, no puedes editar el nombre del rol una vez creado.
1. En **Role description (Descripción del rol)**, conserve la descripción del rol predeterminada o escriba una nueva.
1. Revise el rol y, a continuación, elija **Crear rol**.
## Cómo utilizar el rol de IAM con instancias de WorkSpaces streaming
Después de crear un rol de IAM, puede aplicarlo al WorkSpaces momento del lanzamiento. WorkSpaces También puede aplicar un rol de IAM a uno existente. WorkSpaces
Al aplicar un rol de IAM a WorkSpaces, WorkSpaces recupera las credenciales temporales y crea el perfil de credenciales **workspaces\$1machine\$1role** en la instancia. Las credenciales temporales son válidas durante 1 hora y las nuevas credenciales se recuperan cada hora. Las credenciales anteriores no vencen, por lo que puede utilizarlas mientras sean válidas. Puede usar el perfil de credenciales para llamar a AWS los servicios mediante programación mediante la interfaz de línea de AWS comandos (AWSCLI), AWS las herramientas o el AWS SDK con el idioma que prefiera. PowerShell
Cuando realice llamadas a la API, especifique **workspaces\$1machine\$1role** como el perfil de credenciales. De lo contrario, la operación falla debido a los permisos insuficientes.
WorkSpaces asume la función especificada mientras se aprovisiona la instancia de streaming. Como WorkSpaces utiliza la interfaz de red elástica que está conectada a la VPC para las llamadas a la AWS API, la aplicación o el script deben esperar a que la interfaz de red elástica esté disponible antes de realizar las llamadas a la AWS API. Si las llamadas a la API se realizan antes de que la interfaz de red elástica esté disponible, las llamadas fallan.
Los siguientes ejemplos muestran cómo se puede utilizar el perfil de credenciales **workspaces\$1machine\$1role** para describir las instancias de streaming (instancias) EC2 y crear el cliente Boto. Boto es el SDK de Amazon Web Services (AWS) para Python.
**Describa las instancias de streaming (EC2 instancias) mediante la AWS CLI**
```
aws ec2 describe-instances --region us-east-1 --profile workspaces_machine_role
```
**Describa las instancias de streaming (EC2 instancias) mediante AWS herramientas para PowerShell**
Debe usar AWS Tools para la PowerShell versión 3.3.563.1 o posterior, con el Amazon Web Services SDK para .NET versión 3.3.103.22 o posterior. Puede descargar el instalador de AWS Herramientas para Windows, que incluye AWS Herramientas para PowerShell y el SDK de Amazon Web Services para .NET, desde el PowerShell sitio web [AWSHerramientas para](https://aws.amazon.com/powershell/).
```
Get-EC2Instance -Region us-east-1 -ProfileName workspaces_machine_role
```
**Creación del cliente Boto mediante el AWS SDK para Python**
```
session = boto3.Session(profile_name=workspaces_machine_role')
```
# Referencia de permisos de operaciones de la consola de Amazon WorkSpaces
Solo se puede llamar a algunas API de Amazon WorkSpaces a través de la consola de administración de AWS. No son API públicas, en el sentido de que no se pueden llamar mediante programación y ningún SDK las proporciona. Estas operaciones de API incluyen:
+ workspaces:DirectoryAccessManagement
+ workspaces:CreateRootClientCertificate
+ workspaces:UpdateRootClientCertificate
+ workspaces:DeleteRootClientCertificate
+ workspaces:DescribeConsent
+ workspaces:UpdateConsent
## Operaciones de la consola de WorkSpaces y permisos necesarios para acciones
La consola utiliza acciones de API adicionales para sus características, por lo que es posible que los permisos para las API públicas de WorkSpaces no sean suficientes. Por ejemplo, un usuario que tiene permisos para usar la API de [CreateWorkSpaces](https://docs.aws.amazon.com/workspaces/latest/api/API_CreateWorkspaces.html) mediante una CLI/SDK puede encontrar errores al intentar crear un WorkSpace en la consola, ya que le faltan ciertos permisos para seleccionar o crear usuarios. En esta tabla se indican las características que solo están disponibles en la consola de WorkSpaces y los permisos adicionales necesarios que permiten a los usuarios trabajar con estas partes específicas de la consola.
La sección [Ejemplos de políticas](https://docs.aws.amazon.com/workspaces/latest/adminguide/workspaces-access-control.html#workspaces-example-iam-policies) proporciona la lista de permisos para realizar todas las tareas de WorkSpaces para WorkSpaces Pools, personales y de BYOL.
Como alternativa, también puede utilizar permisos granulares para aplicar permisos de privilegio mínimo para realizar una tarea.
En esta tabla se indican las características de la consola de WorkSpaces que se basan en las API que no proporciona el SDK y los permisos necesarios que permiten a los usuarios trabajar con estas partes específicas de la consola. Estos permisos deben añadirse además de otras acciones necesarias para las API que proporciona el SDK.
| Operaciones de la consola de WorkSpaces | Permisos necesarios |
| --- | --- |
| [Configuración rápida de WorkSpaces Personal](https://docs.aws.amazon.com/workspaces/latest/adminguide/managing-wsp-personal.html#getting-started) | workspaces:DirectoryAccessManagement ds:\$1 ec2:CreateVpc ec2:CreateSubnet ec2:CreateNetworkInterface ec2:CreateInternetGateway ec2:CreateRouteTable ec2:CreateRoute ec2:CreateTags ec2:CreateSecurityGroup ec2:DescribeInternetGateways ec2:DescribeSecurityGroups ec2:DescribeRouteTables ec2:DescribeVpcs ec2:DescribeSubnets ec2:DescribeNetworkInterfaces ec2:DescribeAvailabilityZones ec2:AttachInternetGateway ec2:AssociateRouteTable ec2:AuthorizeSecurityGroupIngress ec2:AuthorizeSecurityGroupEgress iam:CreateRole iam:GetRole iam:PutRolePolicy workspaces:DescribeAccount workspaces:DescribeWorkspaceDirectories workspaces:CreateWorkspaces workspaces:DescribeWorkspaces workspaces:RegisterWorkspaceDirectory workspaces:DescribeWorkspaceBundles workspaces:DescribeWorkspaces |
| [Limitación del acceso a los dispositivos de confianza en WorkSpaces Personal](https://docs.aws.amazon.com/workspaces/latest/adminguide/trusted-devices.html#configure-restriction) | workspaces:CreateRootClientCertificate workspaces:UpdateRootClientCertificate workspaces:DeleteRootClientCertificate ds:DescribeDirectories ec2:DescribeSubnets ec2:DescribeSecurityGroups workspaces:DescribeAccount workspaces:DescribeWorkspaceDirectories workspaces:DescribeTags workspaces:DescribeClientProperties workspaces:DescribeConnectClientAddins workspaces:DirectoryAccessManagement |
| [Creación de un WorkSpace en WorkSpaces Personal en la consola](https://docs.aws.amazon.com/workspaces/latest/adminguide/create-workspaces-personal.html): para crear, buscar o describir los usuarios del directorio de Directory Service | workspaces:DirectoryAccessManagement workspaces:DescribeAccount workspaces:CreateWorkspaces workspaces:DescribeWorkspaces workspaces:DescribeWorkspaceDirectories workspaces:DescribeWorkspaceBundles workspaces:DescribeTags workspaces:CreateTags workspaces:DescribeClientProperties kms:ListKeys kms:ListAliases kms:DescribeKey ds:DescribeTrusts ds:DescribeDirectories ec2:DescribeSubnets ec2:DescribeSecurityGroups |
| [Administración de usuarios en WorkSpaces Personal](https://docs.aws.amazon.com/workspaces/latest/adminguide/manage-workspaces-users.html): para editar usuarios y enviar un correo electrónico de invitación a los usuarios | workspaces:DirectoryAccessManagement workspaces:DescribeAccount workspaces:DescribeWorkspaceDirectories workspaces:DescribeWorkspaces workspaces:DescribeTags workspaces:DescribeWorkspaceBundles workspaces:DescribeWorkspacesConnectionStatus workspaces:DescribeWorkspaceAssociations workspaces:DescribeWorkspaceSnapshots workspaces:DescribeWorkspaceImages workspaces:DescribeConnectionAliases |
| [Actualización de la cuenta de AD Connector (AD Connector) en WorkSpaces Personal](https://docs.aws.amazon.com/workspaces/latest/adminguide/connect-account.html) | workspaces:DirectoryAccessManagement ds:DescribeDirectories ds:UpdateDirectory ec2:DescribeSubnets ec2:DescribeSecurityGroups workspaces:DescribeAccount workspaces:DescribeWorkspaceDirectories workspaces:DescribeTags workspaces:DescribeClientProperties workspaces:DescribeConnectClientAddins |
| [Selección de una unidad organizativa en WorkSpaces Personal](https://docs.aws.amazon.com/workspaces/latest/adminguide/select-ou.html) | workspaces:DirectoryAccessManagement ds:DescribeDirectories ec2:DescribeSubnets ec2:DescribeSecurityGroups workspaces:DescribeAccount workspaces:DescribeWorkspaceDirectories workspaces:DescribeTags workspaces:DescribeClientProperties workspaces:DescribeConnectClientAddins workspaces:ModifyWorkspaceCreationProperties |
| [Activación de su cuenta para BYOL](https://docs.aws.amazon.com/workspaces/latest/adminguide/byol-windows-images.html): para confirmar que comprende los requisitos para usar BYOL WorkSpaces | workspaces:DescribeConsent workspaces:UpdateConsent workspaces:DescribeAccount workspaces:ListAccountLinks workspaces:DescribeWorkspaceBundles workspaces:DescribeWorkspaceImages workspaces:DescribeWorkspaceDirectories |
# Validación de conformidad para Amazon WorkSpaces
Los auditores externos evalúan la seguridad y conformidad de Amazon WorkSpaces como parte de varios programas de conformidad de AWS. Estos incluyen SOC, PCI, FedRAMP, HIPAA y otros.
Para obtener una lista de los servicios de AWS en el ámbito de programas de conformidad específicos, consulte [Servicios de AWS en el ámbito del programa de conformidad](https://aws.amazon.com/compliance/services-in-scope/). Para obtener información general, consulte [Programas de conformidad de AWS](https://aws.amazon.com/compliance/programs/).
Puedes descargar los informes de auditoría de terceros utilizando AWS Artifact. Para obtener más información, consulte [Descarga de informes en AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
Para obtener más información sobre WorkSpaces y FedRAMP, consulte [Configure la autorización de FedRAMP o el cumplimiento de las normas SRG del DoD para personal WorkSpaces](fips-encryption.md).
Su responsabilidad de conformidad al utilizar WorkSpaces se determina en función de la confidencialidad de los datos, los objetivos de conformidad de su empresa, así como de la legislación y los reglamentos aplicables. AWS proporciona los siguientes recursos para ayudarle con la conformidad:
+ [Security and Compliance Quick Start Guides](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance) (Guías de inicio rápido de seguridad y conformidad) (Guías de inicio rápido de seguridad y conformidad): Estas guías de implementación analizan las consideraciones en materia de arquitectura y proporcionan los pasos para implementar los entornos de referencia centrados en la seguridad y la conformidad en AWS.
+ [Architecting for HIPAA Security and Compliance on Amazon Web Services](https://docs.aws.amazon.com/pdfs/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/architecting-hipaa-security-and-compliance-on-aws.pdf) (Arquitectura para la seguridad y el cumplimiento de la HIPAA en Amazon Web Services): en este documento técnico, se describe cómo las empresas pueden utilizar AWS para crear aplicaciones que cumplan los requisitos de HIPAA.
+ [Recursos de conformidad de AWS](https://aws.amazon.com/compliance/resources/): este conjunto de manuales y guías podría aplicarse a su sector y ubicación.
+ [Evaluación de recursos con reglas](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) en la *Guía para desarrolladores de AWS Config*; AWS Config evalúa en qué medida las configuraciones de sus recursos cumplen las prácticas internas, las directrices del sector y las normativas.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) – Este servicio de AWS proporciona una vista integral de su estado de seguridad en AWS que ayuda a verificar la conformidad con los estándares y las prácticas recomendadas del sector de seguridad.
# Resiliencia en Amazon WorkSpaces
La infraestructura global de AWS está conformada por regiones y zonas de disponibilidad de AWS. Las regiones proporcionan varias zonas de disponibilidad físicamente independientes y aisladas que se encuentran conectadas mediante redes con un alto nivel de rendimiento y redundancia, además de baja latencia. Con las zonas de disponibilidad, puede diseñar y utilizar aplicaciones y bases de datos que realizan una conmutación por error automática entre las zonas sin interrupciones. Las zonas de disponibilidad tienen una mayor disponibilidad, tolerancia a errores y escalabilidad que las infraestructuras tradicionales de centros de datos únicos o múltiples.
Para obtener más información sobre las regiones y zonas de disponibilidad de AWS, consulte [Infraestructura global de AWS](https://aws.amazon.com/about-aws/global-infrastructure/).
Amazon WorkSpaces también ofrece redireccionamiento entre regiones, una característica que funciona con las políticas de enrutamiento de conmutación por error de su sistema de nombres de dominio (DNS) para redirigir a los usuarios de WorkSpaces a WorkSpaces alternativos en otra región de AWS cuando sus WorkSpaces principales no están disponibles. Para obtener más información, consulte [Redirección entre regiones para Personal WorkSpaces](cross-region-redirection.md).
# Seguridad de infraestructuras en Amazon WorkSpaces
Como servicio gestionado, Amazon WorkSpaces está protegido por la seguridad de la red AWS global. Para obtener información sobre los servicios AWS de seguridad y cómo se AWS protege la infraestructura, consulte [Seguridad AWS en la nube](https://aws.amazon.com/security/). Para diseñar su AWS entorno utilizando las mejores prácticas de seguridad de la infraestructura, consulte [Protección de infraestructuras en un marco](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) de buena * AWS arquitectura basado en el pilar de la seguridad*.
Utiliza las llamadas a la API AWS publicadas para acceder a WorkSpaces través de la red. Los clientes deben admitir lo siguiente:
+ Seguridad de la capa de transporte (TLS). Exigimos TLS 1.2 y recomendamos TLS 1.3.
+ Conjuntos de cifrado con confidencialidad directa total (PFS) como DHE (Ephemeral Diffie-Hellman) o ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos.
**Topics**
+ [Aislamiento de red](network-isolation.md)
+ [Aislamiento en hosts físicos](physical-isolation.md)
+ [Credential Guard/Seguridad basada en la virtualización (VBS)](credential-guard-vbs.md)
+ [Autorización de usuarios corporativos](authorization.md)
+ [Creación y transmisión desde puntos de conexión de VPC de interfaz](creating-streaming-vpc-endpoints.md)
+ [Realice solicitudes a la WorkSpaces API de Amazon a través de un punto final de interfaz de VPC](interface-vpc-endpoint.md)
+ [Creación de una política de punto de conexión de VPC para Amazon WorkSpaces](api-private-link-policy.md)
+ [Conecte su red privada a su VPC](notebook-private-link-vpn.md)
# Aislamiento de red
Una Virtual Private Cloud (VPC) es una red virtual en su propia área, aislada lógicamente en la nube de AWS. Puede implementar sus escritorios de WorkSpaces en una subred privada de la VPC. Para obtener más información, consulte [Configurar una VPC para personal WorkSpaces](amazon-workspaces-vpc.md).
Para permitir únicamente el tráfico de intervalos de direcciones específicos (por ejemplo, de la red corporativa), actualice el grupo de seguridad de la VPC o utilice un [grupo de control de acceso IP](amazon-workspaces-ip-access-control-groups.md).
Puede restringir el acceso a escritorios de WorkSpaces a dispositivos de confianza con certificados válidos. Para obtener más información, consulte [Límite del acceso a los dispositivos de confianza en WorkSpaces Personal](trusted-devices.md).
# Aislamiento en hosts físicos
Los diferentes escritorios de WorkSpaces que se encuentran en el mismo host físico están aislados entre sí a través del hipervisor. Es como si estuvieran en hosts físicos distintos. Cuando se elimina un escritorio de WorkSpaces, el hipervisor limpia la memoria asignada (la establece en cero) antes de asignarla a un nuevo escritorio de WorkSpaces.
# Credential Guard/Seguridad basada en la virtualización (VBS)
Windows WorkSpaces puede utilizar Credential Guard y Virtualization-Based Security (VBS) para proporcionar un aislamiento basado en hardware y proteger las credenciales dentro del sistema operativo. Puede deshabilitar Credential Guard o VBS mediante la configuración de políticas de grupo.
**importante**
Al deshabilitar VBS, se reduce el nivel de seguridad de Windows. WorkSpace Desactive VBS únicamente si es necesario para satisfacer necesidades específicas de rendimiento o compatibilidad.
**Implicaciones de seguridad de la desactivación de VBS**
+ **Reducción de la protección a nivel del núcleo**: el núcleo del sistema operativo se vuelve más vulnerable a los códigos maliciosos.
+ **Mayor riesgo de robo de credenciales**: los atacantes pueden extraer más fácilmente las credenciales del proceso lsass.exe.
+ **Comprobaciones de integridad del código deshabilitadas**: la integridad del código reforzada por el hipervisor (HVCI) no funcionará, lo que permitirá que los controladores no firmados se ejecuten en modo kernel.
+ **Mayor vulnerabilidad a las vulnerabilidades**: el sistema se vuelve más susceptible a los ataques que podrían poner en peligro la totalidad del sistema.
+ **Pérdida de funciones de seguridad avanzadas: funciones** como Windows Defender Credential Guard y System Guard no pueden funcionar según lo previsto.
# Autorización de usuarios corporativos
Con WorkSpaces, los directorios se administran a través de Directory Service. Puede crear un directorio administrado independiente para los usuarios. O bien, puede realizar la integración con el entorno de Active Directory existente para que los usuarios puedan usar sus credenciales actuales para obtener acceso fácilmente a los recursos corporativos. Para obtener más información, consulte [Administración de directorios en WorkSpaces Personal](manage-workspaces-directory.md).
Para controlar aún más el acceso a sus escritorios de WorkSpaces, utilice la autenticación multifactor. Para obtener más información, consulte [Cómo habilitar la autenticación multifactor para los servicios de AWS](https://aws.amazon.com/blogs/security/how-to-enable-multi-factor-authentication-for-amazon-workspaces-and-amazon-quicksight-by-using-microsoft-ad-and-on-premises-credentials/).
# Creación y transmisión desde puntos de conexión de VPC de interfaz
Una nube privada virtual (VPC) es una red virtual en su propia área, aislada lógicamente en la nube de Amazon Web Services. Si utiliza Amazon Virtual Private Cloud para alojar sus AWS recursos, puede establecer una conexión privada entre su VPC y. WorkSpaces Puede utilizar esta conexión para poder WorkSpaces comunicarse con los recursos de su VPC sin tener que pasar por la Internet pública.
Los puntos finales de la interfaz funcionan con una tecnología que le permite mantener el tráfico de streaming dentro de una VPC que especifique mediante direcciones IP privadas. AWS PrivateLink Cuando utilizas la VPC con un túnel de Direct AWS Connect o de red privada AWS virtual, puedes mantener el tráfico de streaming dentro de tu red.
Puede usar un punto de enlace de VPC en su AWS cuenta para restringir todo el tráfico de streaming entre su Amazon VPC y WorkSpaces la red. AWS Después de crear el punto final, configure el WorkSpaces directorio para usarlo.
## Requisitos previos y limitaciones
Antes de configurar los puntos finales de la VPC WorkSpaces, tenga en cuenta los siguientes requisitos previos y limitaciones.
+ Actualmente, la función admite nuestro tipo de IPv4 IP de registro IPv6 DNS. No se admite el tipo de IP de registro DNS de pila doble.
+ Solo puede configurar puntos de enlace de VPC que estén en el Cuenta de AWS mismo directorio. No se admiten los puntos de enlace de VPC en otros, incluidos Cuentas de AWS los puntos de enlace compartidos. VPCs
+ Actualmente, la característica solo admite nombres de DNS privados para puntos de conexión de VPC. El nombre de DNS privado para un punto de conexión de VPC no se puede resolver de forma pública.
+ Actualmente, la función solo está disponible para WorkSpaces uso personal. WorkSpaces Los grupos no admiten puntos de conexión de VPC para la transmisión.
+ La función de punto de conexión de VPC está disponible exclusivamente para el uso de WorkSpaces Amazon DCV. Al configurar un punto de conexión de VPC para un directorio, los usuarios no pueden transmitir desde Amazon DCV a través de Internet. Sin embargo, puede habilitar la transmisión por Internet para PCo IP WorkSpaces en el mismo directorio durante la configuración del punto final de la VPC.
+ Utilice un punto de conexión de VPC de transmisión para mantener el tráfico de transmisión en la VPC. Sus WorkSpaces clientes requieren conectividad a Internet para la autenticación de los usuarios. Habilite el acceso de salida en el puerto 443 (tanto UDP como TCP) para el tráfico de autenticación. Asimismo, debe añadir los dominios y las direcciones IP necesarios a la lista de permitidos en función del método de autenticación que haya elegido. Para obtener una lista completa de los dominios de cada categoría, consulte [Dominios y direcciones IP para agregar a la lista de permitidos](https://docs.aws.amazon.com/workspaces/latest/adminguide/workspaces-port-requirements.html#whitelisted_ports).
+ CAPTCHA
+ Configuración de directorios
+ Puntos de conexión de autenticación con tarjeta inteligente anteriores a la sesión, si utiliza una tarjeta inteligente
+ Páginas de inicio de sesión del usuario
+ Agente de WS
+ WorkSpaces Terminales para el inicio de sesión único (SSO) con SAML
+ La red a la que se conectan los dispositivos de los usuarios debe poder dirigir el tráfico al punto de conexión de VPC.
+ Debe tener una política de permisos de IAM para el usuario de IAM o el rol de IAM en su cuenta de AWS para realizar la acción de la API `ec2:DescribeVpcEndpoints`.
+ WorkSpaces Los puntos finales de VPC de streaming actualmente no admiten el cifrado FIPS. Si ya ha habilitado el cifrado FIPS para un directorio, debe deshabilitar el cifrado FIPS antes de configurar un punto de conexión de VPC.
+ AWSLa integración de Global Accelerator (AGA) no está disponible cuando se transmite a través de un punto final de VPC.
+ Cuando se configura un punto de conexión de VPC para un directorio, ya no se aplican los grupos de control de acceso IP especificados para el directorio.
## Configuración del punto final de VPC para la transmisión WorkSpaces
Para configurar un punto final de VPC para la WorkSpaces transmisión, complete los siguientes pasos:
### Paso 1: Crear el grupo de seguridad
En este paso, crea un grupo de seguridad que permite a WorkSpaces los clientes comunicarse con el punto de conexión de VPC que va a crear.
1. En el panel de navegación de la EC2 consola de Amazon, ve a **Red y seguridad y**, a continuación, a **Grupos de seguridad**.
1. Seleccione **Crear grupo de seguridad**.
1. En **Detalles básicos**, introduzca lo siguiente:
+ En **Nombre de grupo de seguridad**, escriba un nombre único que identifique el grupo de seguridad.
+ En **Descripción**, especifique texto que describa el objetivo del grupo de seguridad.
+ En **VPC**: elija la VPC en la que se encuentra el punto de conexión de VPC.
1. Vaya a **Reglas de entrada** y seleccione **Agregar regla** para crear reglas de entrada para el tráfico TCP.
1. Introduzca lo siguiente:
+ En **Tipo**, elija TCP personalizada.
+ En **Intervalo de puertos**: introduzca los siguientes números de puerto: `443`, `4195`.
+ En **Tipo de origen**, elija Personalizado.
+ Para el **origen**: introduzca el rango CIDR de IP privado u otro grupo de seguridad IDs desde el que los usuarios se conectan al punto final de la VPC. Asegúrese de permitir el tráfico entrante desde una fuente de direcciones IPv4 o IPv6 .
1. Repita los pasos 4 y 5 para cada rango de CIDR o grupo de seguridad.
1. Vaya a **Reglas de entrada** y seleccione **Agregar regla** para crear reglas de entrada para el tráfico UDP.
1. Introduzca lo siguiente:
+ En **Tipo**, elija **UDP personalizada**.
+ En **Intervalo de puertos**, introduzca los siguientes números de puerto: 443, 4195.
+ En **Tipo de origen**, elija **Personalizado**.
+ Para la **fuente**: introduzca el mismo rango CIDR de IP privado o el mismo grupo de seguridad que IDs ingresó en el paso 5. Asegúrese de permitir el tráfico entrante desde una fuente de IPv6 direcciones IPv4 O.
1. Repita los pasos 7 y 8 para cada rango de CIDR o grupo de seguridad.
1. Seleccione **Crear grupo de seguridad**.
### Paso 2: Crear el punto de conexión de VPC
En Amazon VPC, un punto de enlace de VPC le permite conectar su VPC a los servicios compatibles. AWS En este ejemplo, configuras Amazon VPC para que tus WorkSpaces usuarios puedan hacer streaming desde ella. WorkSpaces
1. Abra la [Consola de Amazon VPC](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, vaya a **Puntos de conexión** y luego a **Crear punto de conexión**.
1. Seleccione **Crear punto de conexión**.
1. Asegúrese de lo siguiente:
+ **Categoría de servicio**: asegúrese de que se han seleccionado los **servicios de AWS**.
+ **Nombre del servicio**: elija **com.amazonaws. *Region*.highlander.**
+ **VPC**: elija una VPC en la que desee crear el punto de conexión de interfaz. Puede elegir una VPC diferente a la VPC con WorkSpaces recursos siempre que la red dirija el tráfico al punto final de la VPC.
+ **Habilitar nombre de DNS privado**: la casilla de verificación está seleccionada. Si los usuarios utilizan un proxy de red para acceder a instancias de streaming, deshabilite cualquier almacenamiento en caché de proxy en los nombres de dominio y DNS asociados al punto de conexión privado. El nombre de DNS del punto de conexión de VPC debe estar permitido a través del proxy. Para que la resolución de nombres DNS sea correcta, es esencial utilizar los servidores DNS privados de la VPC, ya que los servidores DNS públicos no resolverán el nombre DNS del punto de conexión de VPC.
+ **Tipo de IP del registro DNS: elija** o. IPv4 IPv6 No se admite actualmente el tipo de IP de registro DNS de pila doble. Si eliges Dualstack, no podrás hacer streaming desde el punto de conexión de la WorkSpaces VPC.
+ **Subredes**: elija las subredes (zonas de disponibilidad) para crear el punto de conexión de VPC. Se recomienda elegir como mínimo dos subredes.
+ **Tipo de dirección IP**: elige Dualstack IPv6 o Dualstack IPv4, según las subredes que elijas admitan.
+ En **Panel de grupos de seguridad**, seleccione el grupo de seguridad que creó anteriormente.
1. (Opcional) En el panel **Etiquetas**, puede crear una o más etiquetas.
1. Seleccione **Crear punto de conexión**.
Cuando el punto de conexión esté listo para usar, el valor de la columna **Status** (Estado) cambia a **Available** (Disponible).
### Paso 3: Configurar el WorkSpaces directorio para usar el punto final de la VPC
Debe configurar el WorkSpaces directorio para usar el punto de enlace de VPC que creó para la transmisión.
1. Abra la [WorkSpaces consola](https://console.aws.amazon.com/workspaces/v2/home) en la misma AWS región que el punto final de la VPC.
1. En el panel de **navegación**, seleccione **Directorios**.
1. Seleccione el directorio que desea usar.
1. Vaya a la sección **Puntos de conexión de VPC** y, a continuación, seleccione **Editar**.
1. En el cuadro de diálogo **Editar punto de conexión de VPC**, en **Punto de conexión de transmisión**, seleccione el punto de conexión de VPC que ha creado.
1. Si lo desea, puede habilitar la opción **Permitir que los usuarios con PCo IP WorkSpaces transmitan desde Internet**.
**nota**
Cuando está habilitada, los usuarios pueden transmitir desde su PCo IP WorkSpaces a través de Internet pública. De lo contrario, no se podrá acceder a la PCo IP WorkSpaces del directorio, ya que la PCo IP WorkSpaces no admite el punto final de la VPC para la transmisión.
1. Seleccione **Guardar**.
El tráfico de las nuevas sesiones de streaming se dirigirá a través de este punto de conexión de VPC. Sin embargo, el tráfico de las sesiones de streaming actuales sigue dirigiéndose a través del punto de conexión especificado anteriormente.
**nota**
Los usuarios con DCV WorkSpaces no pueden transmitir a través de la Internet pública cuando se especifica un punto final de VPC.
# Realice solicitudes a la WorkSpaces API de Amazon a través de un punto final de interfaz de VPC
Puede conectarse directamente a los puntos de enlace de la WorkSpaces API de Amazon a través de un [punto de enlace de interfaz](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html) en su nube privada virtual (VPC) en lugar de conectarse a través de Internet. Cuando utiliza un punto de enlace de interfaz de VPC, la comunicación entre su VPC y el punto de enlace de la WorkSpaces API de Amazon se lleva a cabo de forma completa y segura dentro de la red. AWS
**nota**
Esta función solo se puede utilizar para conectarse a los puntos de enlace de la WorkSpaces API. Para conectarse a WorkSpaces través de los WorkSpaces clientes, se requiere conectividad a Internet, tal y como se describe en[Requisitos de dirección IP y puerto para WorkSpaces Personal](workspaces-port-requirements.md).
Los puntos de enlace de la WorkSpaces API de [Amazon son compatibles con los puntos de enlace de la interfaz Amazon Virtual Private Cloud](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Introduction.html) (Amazon VPC) que funcionan con la tecnología de. [AWS PrivateLink](https://aws.amazon.com/privatelink/) Cada punto final de la VPC está representado por una o más [interfaces de red](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) (también conocidas como interfaces de red elásticas o ENIs) con direcciones IP privadas en las subredes de la VPC.
El punto de enlace de la interfaz de VPC conecta su VPC directamente al punto de enlace de la WorkSpaces API de Amazon sin necesidad de una puerta de enlace a Internet, un dispositivo NAT, una conexión de VPN o una conexión. Direct Connect Las instancias de tu VPC no necesitan direcciones IP públicas para comunicarse con el punto de enlace de la WorkSpaces API de Amazon.
Puede crear un punto final de interfaz para conectarse a Amazon WorkSpaces con los comandos Consola de administración de AWS o AWS Command Line Interface (AWS CLI). Para obtener instrucciones, consulte [Creating an Interface Endpoint](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html#create-interface-endpoint).
*Tras crear un punto de enlace de VPC*, puede utilizar los siguientes comandos de CLI de ejemplo que utilizan el `endpoint-url` parámetro para especificar los puntos de enlace de la interfaz con el punto de enlace de la API de Amazon WorkSpaces :
```
aws workspaces copy-workspace-image --endpoint-url VPC_Endpoint_ID.workspaces.Region.vpce.amazonaws.com
aws workspaces delete-workspace-image --endpoint-url VPC_Endpoint_ID.api.workspaces.Region.vpce.amazonaws.com
aws workspaces describe-workspace-bundles --endpoint-url VPC_Endpoint_ID.workspaces.Region.vpce.amazonaws.com \
--endpoint-name Endpoint_Name \
--body "Endpoint_Body" \
--content-type "Content_Type" \
Output_File
```
Si habilita los nombres de host DNS privados para el punto de enlace de la VPC, no necesita especificar la URL del punto de enlace. El nombre de host DNS de la WorkSpaces API de Amazon que la CLI y el WorkSpaces SDK de Amazon utilizan de forma predeterminada (https://api.workspaces). *Region*.amazonaws.com) se resuelve en tu punto final de VPC.
[El punto de enlace de la WorkSpaces API de Amazon admite puntos de enlace de VPC en todas AWS las regiones en las que están disponibles Amazon [VPC y](https://docs.aws.amazon.com/general/latest/gr/rande.html#vpc_region) Amazon. WorkSpaces](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services) Amazon WorkSpaces admite la realización de llamadas a todos sus [públicos APIs](https://docs.aws.amazon.com/workspaces/latest/api/welcome.html) dentro de su VPC.
Para obtener más información AWS PrivateLink, consulte la [AWS PrivateLink documentación](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Introduction.html#what-is-privatelink). Para obtener información sobre el precio de los puntos de enlace de la VPC, consulte [Precios de VPC](https://aws.amazon.com/vpc/pricing/). Para obtener más información sobre la VPC y los puntos de enlace, visite [Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html).
Para ver una lista de los puntos de enlace de las WorkSpaces API de Amazon por región, consulta los puntos de enlace de las [WorkSpaces API.](workspaces-port-requirements.md#workspaces_api_endpoints)
# Creación de una política de punto de conexión de VPC para Amazon WorkSpaces
Puede crear una política de puntos de conexión de VPC de Amazon para Amazon WorkSpaces para especificar lo siguiente:
+ La entidad principal que puede realizar acciones.
+ Las acciones que se pueden realizar.
+ Los recursos en los que se pueden llevar a cabo las acciones.
Para obtener más información, consulte [Controlar el acceso a servicios con puntos de conexión de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) en la *Guía del usuario de Amazon VPC*.
**nota**
LaLas políticas de punto de conexión de VPC no son compatibles con los puntos de conexión de Amazon WorkSpaces del Estándar Federal de Procesamiento de Información (FIPS).s políticas de punto de enlace de la VPC no son compatibles con los puntos de enlace de de Federal Information Processing Standard (FIPS).
El siguiente ejemplo de política de punto de conexión de la VPC especifica que todos los usuarios que tienen acceso al punto de conexión de la interfaz de la VPC tienen permiso para invocar el punto de conexión alojado en Amazon WorkSpaces denominado `ws-f9abcdefg`.
```
{
"Statement": [
{
"Action": "workspaces:*",
"Effect": "Allow",
"Resource": "arn:aws:workspaces:us-west-2:1234567891011:workspace/ws-f9abcdefg",
"Principal": "*"
}
]
}
```
En este ejemplo, se deniegan las siguientes acciones:
+ Invocar puntos de conexión alojados en Amazon WorkSpaces que sean distintos de `ws-f9abcdefg`.
+ Realizar acciones en un recurso que no sea el especificado (ID de WorkSpace: `ws-f9abcdefg`).
**nota**
En este ejemplo, los usuarios pueden realizar otras acciones de la API de Amazon WorkSpaces desde fuera de la VPC. Para restringir las llamadas a la API únicamente a las realizadas desde dentro de la VPC, consulte [Administración de identidad y acceso para WorkSpaces](workspaces-access-control.md) para obtener información sobre el uso de políticas basadas en identidades para controlar el acceso a los puntos de conexión de la API de Amazon WorkSpaces.
# Conecte su red privada a su VPC
Para llamar a la API de Amazon WorkSpaces a través de su VPC, tiene que conectarse desde una instancia que esté dentro de la VPC o conectar su red privada a su VPC mediante AWS Virtual Private Network (Site-to-Site VPN) o Direct Connect. Para más información, consulte [Conexiones VPN](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html) en la *Guía del usuario de Amazon Virtual Private Cloud (Amazon VPC)*. Para obtener información acerca de AWS Direct Connect, consulte [Creación de una conexión](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-connection.html) en la *Guía del usuario de Direct Connect*.
# Administración de actualizaciones en WorkSpaces
Le recomendamos que aplique parches al sistema operativo y a las aplicaciones, los actualice periódicamente y los proteja en WorkSpaces. Puede configurar sus WorkSpaces para que los actualice WorkSpaces durante un periodo de mantenimiento regular o puede actualizarlos usted mismo. Para obtener más información, consulte [Mantenimiento en WorkSpaces Personal](workspace-maintenance.md).
Para las aplicaciones de sus escritorios de WorkSpaces, puede utilizar los servicios de actualización automática proporcionados o seguir las recomendaciones para instalar las actualizaciones proporcionadas por el proveedor de la aplicación.