Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Administración de identidad y acceso para WorkSpaces
De forma predeterminada, los usuarios de IAM no tienen permisos para los WorkSpaces recursos y las operaciones. Para permitir que los usuarios de IAM administren WorkSpaces los recursos, debe crear una política de IAM que les conceda permisos de forma explícita y adjuntar la política a los usuarios o grupos de IAM que necesiten esos permisos.
**nota**
Amazon WorkSpaces no admite el aprovisionamiento de credenciales de IAM en un WorkSpace (por ejemplo, con un perfil de instancia).
Para dar acceso, agregue permisos a los usuarios, grupos o roles:
+ Usuarios y grupos en: AWS IAM Identity Center
Cree un conjunto de permisos. Siga las instrucciones de [Creación de un conjunto de permisos](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) en la *Guía del usuario de AWS IAM Identity Center *.
+ Usuarios gestionados en IAM a través de un proveedor de identidades:
Cree un rol para la federación de identidades. Siga las instrucciones descritas en [Creación de un rol para un proveedor de identidad de terceros (federación)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) en la *Guía del usuario de IAM*.
+ Usuarios de IAM:
+ Cree un rol que el usuario pueda aceptar. Siga las instrucciones descritas en [Creación de un rol para un usuario de IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) en la *Guía del usuario de IAM*.
+ (No recomendado) Adjunte una política directamente a un usuario o agregue un usuario a un grupo de usuarios. Siga las instrucciones descritas en [Adición de permisos a un usuario (consola)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) de la *Guía del usuario de IAM*.
A continuación se enumeran recursos adicionales de IAM:
+ Para obtener más información sobre las políticas de IAM, consulte [Políticas y permisos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) en la *Guía del usuario de IAM*.
+ Para obtener más información sobre IAM, consulte [Administración de identidades y acceso (IAM)](https://aws.amazon.com/iam) y la [https://docs.aws.amazon.com/IAM/latest/UserGuide/](https://docs.aws.amazon.com/IAM/latest/UserGuide/).
+ Para obtener más información sobre recursos, acciones y claves de contexto de condiciones WorkSpaces específicos para su uso en las políticas de permisos de IAM, consulte [Acciones, recursos y claves de condición para Amazon WorkSpaces](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonworkspaces.html) en la Guía del usuario de *IAM*.
+ Para obtener una herramienta que le ayude a crear políticas de IAM, consulte [Generador de políticas de AWS](https://aws.amazon.com/blogs/aws/aws-policy-generator/). También puede utilizar el [simulador de política de IAM](https://docs.aws.amazon.com/IAM/latest/UsingPolicySimulatorGuide/) para probar si una política permitiría o denegaría una solicitud específica a AWS.
**Topics**
+ [Ejemplos de políticas](#workspaces-example-iam-policies)
+ [Especifique los WorkSpaces recursos en una política de IAM](#wsp_iam_resource)
+ [Cree el rol workspaces\$1 DefaultRole](#create-default-role)
+ [Cree el rol de servicio AmazonWorkSpaces PCAAccess](#create-pca-access-role)
+ [AWS políticas gestionadas para WorkSpaces](managed-policies.md)
+ [Acceso a las instancias de streaming WorkSpaces y a los scripts de las mismas](using-iam-roles-to-grant-permissions-to-applications-scripts-streaming-instances.md)
+ [Referencia de permisos de operaciones de la consola de Amazon WorkSpaces](wsp-console-permissions-ref.md)
## Ejemplos de políticas
Los siguientes ejemplos muestran declaraciones de políticas que puedes usar para controlar los permisos que los usuarios de IAM tienen en Amazon WorkSpaces.
### Ejemplo 1: conceder acceso para realizar tareas WorkSpaces personales y grupales
La siguiente declaración de política otorga a un usuario de IAM permiso para realizar tareas WorkSpaces personales y de grupos.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:*",
"workspaces:*",
"application-autoscaling:DeleteScalingPolicy",
"application-autoscaling:DeleteScheduledAction",
"application-autoscaling:DeregisterScalableTarget",
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"application-autoscaling:PutScalingPolicy",
"application-autoscaling:PutScheduledAction",
"application-autoscaling:RegisterScalableTarget",
"cloudwatch:DeleteAlarms",
"cloudwatch:DescribeAlarms",
"cloudwatch:PutMetricAlarm",
"ec2:AssociateRouteTable",
"ec2:AttachInternetGateway",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateInternetGateway",
"ec2:CreateNetworkInterface",
"ec2:CreateRoute",
"ec2:CreateRouteTable",
"ec2:CreateSecurityGroup",
"ec2:CreateSubnet",
"ec2:CreateTags",
"ec2:CreateVpc",
"ec2:DeleteNetworkInterface",
"ec2:DeleteSecurityGroup",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeInternetGateways",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"iam:AttachRolePolicy",
"iam:CreatePolicy",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:PutRolePolicy",
"kms:ListAliases",
"kms:ListKeys",
"secretsmanager:ListSecrets",
"tag:GetResources",
"sso-directory:SearchUsers",
"sso:CreateApplication",
"sso:DeleteApplication",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:GetApplicationGrant",
"sso:ListInstances",
"sso:PutApplicationAssignmentConfiguration",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "workspaces.amazonaws.com"
}
}
}
]
}
```
------
### Ejemplo 2: Conceder acceso para realizar tareas WorkSpaces personales
La siguiente declaración de política concede a un usuario de IAM permiso para realizar todas las tareas WorkSpaces personales.
Si bien Amazon admite WorkSpaces plenamente los `Resource` elementos `Action` y cuando utiliza la API y las herramientas de línea de comandos, para utilizar Amazon WorkSpaces desde el Consola de administración de AWS, un usuario de IAM debe tener permisos para las siguientes acciones y recursos:
+ Acciones: `"ds:*"`
+ Recursos: `"Resource": "*"`
El siguiente ejemplo de política muestra cómo permitir que un usuario de IAM utilice Amazon WorkSpaces desde. Consola de administración de AWS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"workspaces:*",
"ds:*",
"iam:GetRole",
"iam:CreateRole",
"iam:PutRolePolicy",
"iam:CreatePolicy",
"iam:AttachRolePolicy",
"iam:ListRoles",
"kms:ListAliases",
"kms:ListKeys",
"ec2:CreateVpc",
"ec2:CreateSubnet",
"ec2:CreateNetworkInterface",
"ec2:CreateInternetGateway",
"ec2:CreateRouteTable",
"ec2:CreateRoute",
"ec2:CreateTags",
"ec2:CreateSecurityGroup",
"ec2:DescribeInternetGateways",
"ec2:DescribeSecurityGroups",
"ec2:DescribeRouteTables",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeAvailabilityZones",
"ec2:AttachInternetGateway",
"ec2:AssociateRouteTable",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:DeleteSecurityGroup",
"ec2:DeleteNetworkInterface",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"secretsmanager:ListSecrets",
"sso-directory:SearchUsers",
"sso:CreateApplication",
"sso:DeleteApplication",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:GetApplicationGrant",
"sso:ListInstances",
"sso:PutApplicationAssignmentConfiguration",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "workspaces.amazonaws.com"
}
}
}
]
}
```
------
### Ejemplo 3: Conceder acceso para realizar tareas de WorkSpaces Pools
La siguiente declaración de política otorga a un usuario de IAM permiso para realizar todas las tareas de WorkSpaces Pools.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"workspaces:*",
"application-autoscaling:DeleteScalingPolicy",
"application-autoscaling:DeleteScheduledAction",
"application-autoscaling:DeregisterScalableTarget",
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"application-autoscaling:PutScalingPolicy",
"application-autoscaling:PutScheduledAction",
"application-autoscaling:RegisterScalableTarget",
"cloudwatch:DeleteAlarms",
"cloudwatch:DescribeAlarms",
"cloudwatch:PutMetricAlarm",
"ec2:CreateSecurityGroup",
"ec2:CreateTags",
"ec2:DescribeInternetGateways",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"iam:AttachRolePolicy",
"iam:CreatePolicy",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:PutRolePolicy",
"secretsmanager:ListSecrets",
"tag:GetResources"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "workspaces.amazonaws.com"
}
}
},
{
"Action": "iam:CreateServiceLinkedRole",
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/aws-service-role/workspaces.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_WorkSpacesPool",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "workspaces.application-autoscaling.amazonaws.com"
}
}
}
]
}
```
------
### Ejemplo 4: Realizar todas las WorkSpaces tareas para BYOL WorkSpaces
La siguiente declaración de política concede a un usuario de IAM permiso para realizar todas WorkSpaces las tareas, incluidas las tareas de Amazon EC2 necesarias para crear la licencia Bring Your Own License (BYOL). WorkSpaces
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:*",
"workspaces:*",
"ec2:AssociateRouteTable",
"ec2:AttachInternetGateway",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateInternetGateway",
"ec2:CreateNetworkInterface",
"ec2:CreateRoute",
"ec2:CreateRouteTable",
"ec2:CreateSecurityGroup",
"ec2:CreateSubnet",
"ec2:CreateTags",
"ec2:CreateVpc",
"ec2:DeleteNetworkInterface",
"ec2:DeleteSecurityGroup",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeImages",
"ec2:DescribeInternetGateways",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:ModifyImageAttribute",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"iam:CreateRole",
"iam:GetRole",
"iam:PutRolePolicy",
"kms:ListAliases",
"kms:ListKeys"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "workspaces.amazonaws.com"
}
}
}
]
}
```
------
## Especifique los WorkSpaces recursos en una política de IAM
Para especificar un WorkSpaces recurso en el `Resource` elemento de la declaración de política, utilice el nombre de recurso de Amazon (ARN) del recurso. Usted controla el acceso a sus WorkSpaces recursos al permitir o denegar los permisos para utilizar las acciones de la API que se especifican en el `Action` elemento de su declaración de política de IAM. WorkSpaces define ARNs los paquetes WorkSpaces, los grupos de IP y los directorios.
### WorkSpace ARN
Un WorkSpace ARN tiene la sintaxis que se muestra en el siguiente ejemplo.
```
arn:aws:workspaces:region:account_id:workspace/workspace_identifier
```
*region*
La región en la que WorkSpace se encuentra (por ejemplo,`us-east-1`).
*account\$1id*
El ID de la AWS cuenta, sin guiones (por ejemplo,`123456789012`).
*identificador\$1espacio\$1trabajo*
El ID de WorkSpace (por ejemplo,`ws-a1bcd2efg`).
El siguiente es el formato del `Resource` elemento de una declaración de política que identifica un elemento específico WorkSpace.
```
"Resource": "arn:aws:workspaces:region:account_id:workspace/workspace_identifier"
```
Puede usar el `*` comodín para especificar todos los WorkSpaces que pertenecen a una cuenta específica en una región específica.
### WorkSpace piscina ARN
Un WorkSpace ARN de grupo tiene la sintaxis que se muestra en el siguiente ejemplo.
```
arn:aws:workspaces:region:account_id:workspacespool/workspacespool_identifier
```
*region*
La región en la que WorkSpace se encuentra (por ejemplo,`us-east-1`).
*account\$1id*
El ID de la AWS cuenta, sin guiones (por ejemplo,`123456789012`).
*workspacespool\$1identifier*
El ID del WorkSpace grupo (por ejemplo,`ws-a1bcd2efg`).
El siguiente es el formato del `Resource` elemento de una declaración de política que identifica un elemento específico WorkSpace.
```
"Resource": "arn:aws:workspaces:region:account_id:workspacespool/workspacespool_identifier"
```
Puede usar el `*` comodín para especificar todos los WorkSpaces que pertenecen a una cuenta específica en una región específica.
### ARN del certificado
Un WorkSpace ARN de certificado tiene la sintaxis que se muestra en el siguiente ejemplo.
```
arn:aws:workspaces:region:account_id:workspacecertificate/workspacecertificateidentifier
```
*region*
La región en la que WorkSpace se encuentra (por ejemplo,`us-east-1`).
*account\$1id*
El ID de la AWS cuenta, sin guiones (por ejemplo,`123456789012`).
*workspacecertificate\$1identifier*
El ID del WorkSpace certificado (por ejemplo,`ws-a1bcd2efg`).
El siguiente es el formato del `Resource` elemento de una declaración de política que identifica un WorkSpace certificado específico.
```
"Resource": "arn:aws:workspaces:region:account_id:workspacecertificate/workspacecertificate_identifier"
```
Puede usar el `*` comodín para especificar todos los WorkSpaces que pertenecen a una cuenta específica en una región específica.
### ARN de imagen
El ARN WorkSpace de una imagen tiene la sintaxis que se muestra en el siguiente ejemplo.
```
arn:aws:workspaces:region:account_id:workspaceimage/image_identifier
```
*region*
La región en la que se encuentra la WorkSpace imagen (por ejemplo,`us-east-1`).
*account\$1id*
El ID de la AWS cuenta, sin guiones (por ejemplo,`123456789012`).
*identificador\$1paquete*
El ID de la WorkSpace imagen (por ejemplo,`wsi-a1bcd2efg`).
Este es el formato del elemento `Resource` de una instrucción de política que identifica una imagen específica.
```
"Resource": "arn:aws:workspaces:region:account_id:workspaceimage/image_identifier"
```
Puede utilizar el carácter comodín `*` para especificar todas las imágenes que pertenecen a una cuenta específica en una región específica.
### ARN de paquete
Los ARN de los paquetes tienen la sintaxis que se muestra en el siguiente ejemplo.
```
arn:aws:workspaces:region:account_id:workspacebundle/bundle_identifier
```
*region*
La región en la que WorkSpace se encuentra (por ejemplo,`us-east-1`).
*account\$1id*
El ID de la AWS cuenta, sin guiones (por ejemplo,`123456789012`).
*identificador\$1paquete*
El ID del WorkSpace paquete (por ejemplo,`wsb-a1bcd2efg`).
Este es el formato del elemento `Resource` de una instrucción de política que identifica un paquete específico.
```
"Resource": "arn:aws:workspaces:region:account_id:workspacebundle/bundle_identifier"
```
Puede utilizar el comodín `*` para especificar todos los paquetes que pertenecen a una cuenta específica en una región específica.
### ARN de grupo de IP
Los ARN de los grupos de IP tienen la sintaxis que se muestra en el ejemplo siguiente.
```
arn:aws:workspaces:region:account_id:workspaceipgroup/ipgroup_identifier
```
*region*
La región en la que WorkSpace se encuentra (por ejemplo,`us-east-1`).
*account\$1id*
El ID de la AWS cuenta, sin guiones (por ejemplo,`123456789012`).
*grupoip\$1identificador*
ID del grupo de IP (por ejemplo, `wsipg-a1bcd2efg`).
Este es el formato del elemento `Resource` de una instrucción de política que identifica un grupo de IP específico.
```
"Resource": "arn:aws:workspaces:region:account_id:workspaceipgroup/ipgroup_identifier"
```
Puede utilizar el carácter comodín `*` para especificar todos los grupos de IP que pertenecen a una cuenta específica en una región específica.
### ARN de directorio
Los ARN de los directorios tienen la sintaxis que se muestra en el ejemplo siguiente.
```
arn:aws:workspaces:region:account_id:directory/directory_identifier
```
*region*
La región en la que WorkSpace se encuentra (por ejemplo,`us-east-1`).
*account\$1id*
El ID de la AWS cuenta, sin guiones (por ejemplo,`123456789012`).
*directorio\$1identificador*
ID del directorio (por ejemplo, `d-12345a67b8`).
Este es el formato del elemento `Resource` de una instrucción de política que identifica un directorio específico.
```
"Resource": "arn:aws:workspaces:region:account_id:directory/directory_identifier"
```
Puede utilizar el carácter comodín para especificar todos los directorios que pertenecen a una cuenta específica en una región específica.
### Alias de conexión ARN
Un alias de conexión ARN tiene la sintaxis que se muestra en el siguiente ejemplo.
```
arn:aws:workspaces:region:account_id:connectionalias/connectionalias_identifier
```
*region*
La región en la que se encuentra el alias de conexión (por ejemplo,`us-east-1`).
*account\$1id*
El ID de la AWS cuenta, sin guiones (por ejemplo,). `123456789012`
*connectionalias\$1identifier*
El ID del alias de conexión (por ejemplo, `wsca-12345a67b8`).
Este es el formato del elemento `Resource` de una instrucción de política que identifica un alias de conexión específico.
```
"Resource": "arn:aws:workspaces:region:account_id:connectionalias/connectionalias_identifier"
```
Puede utilizar el carácter comodín `*` para especificar todos los alias de conexión que pertenecen a una cuenta específica en una región específica.
### Acciones de API que no admiten los permisos a nivel de recursos
No puede especificar el ARN de un recurso con las siguientes acciones de API:
+ `AssociateIpGroups`
+ `CreateIpGroup`
+ `CreateTags`
+ `DeleteTags`
+ `DeleteWorkspaceImage`
+ `DescribeAccount`
+ `DescribeAccountModifications`
+ `DescribeIpGroups`
+ `DescribeTags`
+ `DescribeWorkspaceDirectories`
+ `DescribeWorkspaceImages`
+ `DescribeWorkspaces`
+ `DescribeWorkspacesConnectionStatus`
+ `DisassociateIpGroups`
+ `ImportWorkspaceImage`
+ `ListAvailableManagementCidrRanges`
+ `ModifyAccount`
En el caso de las acciones de la API que no admiten los permisos a nivel de recursos, debe especificar la instrucción de recursos que se muestra en el ejemplo siguiente.
```
"Resource": "*"
```
### Acciones de la API que no admiten restricciones en el nivel de cuenta sobre recursos compartidos
Para las siguientes acciones de API, no puede especificar un ID de cuenta en el ARN del recurso cuando el recurso no es propiedad de la cuenta:
+ `AssociateConnectionAlias`
+ `CopyWorkspaceImage`
+ `DisassociateConnectionAlias`
Para estas acciones de la API, puedes especificar un ID de cuenta en el ARN del recurso solo cuando esa cuenta sea propietaria de los recursos sobre los que se va a actuar. Cuando la cuenta no es propietaria de los recursos, debe especificar `*` para el ID de cuenta, tal y como se muestra en el siguiente ejemplo.
```
"arn:aws:workspaces:region:*:resource_type/resource_identifier"
```
## Cree el rol workspaces\$1 DefaultRole
Antes de poder registrar un directorio mediante la API, debe comprobar que existe un rol denominado `workspaces_DefaultRole`. Esta función la crea la configuración rápida o, si lanzas una WorkSpace con Consola de administración de AWS, y otorga a Amazon WorkSpaces permiso para acceder a AWS recursos específicos en tu nombre. Si este rol no existe, puede crearlo mediante el siguiente procedimiento.
**Para crear el rol workspaces\$1 DefaultRole**
1. Inicie sesión en la consola de Consola de administración de AWS IAM y ábrala en. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. En el panel de navegación de la izquierda, seleccione **Roles**.
1. Elija **Crear rol**.
1. En **Seleccione el tipo de entidad de confianza**, elija **Otra cuenta de AWS **.
1. En **Account ID (ID de cuenta)**, escriba el ID de la cuenta sin guiones ni espacios.
1. En **Options (Opciones)**, no especifique multi-factor authentication (MFA).
1. Elija **Siguiente: permisos**.
1. En la página **Adjuntar políticas de permisos**, seleccione las políticas AWS **AmazonWorkSpacesServiceAccess**AmazonWorkSpacesSelfServiceAccess****administradas y **AmazonWorkSpacesPoolServiceAccess**. Para obtener más información sobre estas políticas administradas, consulte [AWS políticas gestionadas para WorkSpaces](managed-policies.md).
1. En **Establecer límite de permisos**, se recomienda que no utilice un límite de permisos debido a la posibilidad de conflictos con las políticas asociadas a este rol. Estos conflictos podrían bloquear ciertos permisos necesarios para el rol.
1. Elija **Siguiente: etiquetas**.
1. En la página **Add tags (optional) [Agregar etiquetas (opcional)]**, añada las etiquetas que correspondan.
1. Elija **Siguiente: Revisar**.
1. En la página **Revisión**, en **Nombre del rol**, ingrese **workspaces\$1DefaultRole**.
1. (Opcional) En **Role description (Descripción del rol)**, escriba una descripción.
1. Seleccione **Crear rol**.
1. En la página de **resumen** del DefaultRole rol workspaces\$1, seleccione la pestaña Relaciones de **confianza**.
1. En la pestaña **Trust relationships (Relaciones de confianza)**, elija **Edit trust relationship (Editar relación de confianza)**.
1. En la página **Edit Trust Relationship (Editar relación de confianza)**, sustituya la instrucción de política existente por la siguiente instrucción.
```
{
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "workspaces.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
1. Elija **Actualizar política de confianza**.
## Cree el rol de servicio AmazonWorkSpaces PCAAccess
Antes de que los usuarios puedan iniciar sesión mediante la autenticación basada en certificados, debe comprobar que existe un rol denominado `AmazonWorkSpacesPCAAccess`. Este rol se crea cuando habilitas la autenticación basada en certificados en un directorio mediante el Consola de administración de AWS, y otorga a Amazon WorkSpaces permiso para acceder a AWS Private CA los recursos en tu nombre. Si este rol no existe porque no utiliza la consola para administrar la autenticación basada en certificados, puede crearlo mediante el siguiente procedimiento.
**Para crear el rol de AmazonWorkSpaces PCAAccess servicio mediante el AWS CLI**
1. Cree un archivo JSON llamado `AmazonWorkSpacesPCAAccess.json` con el siguiente texto.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "prod.euc.ecm.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Ajuste la `AmazonWorkSpacesPCAAccess.json` ruta según sea necesario y ejecute los siguientes AWS CLI comandos para crear el rol de servicio y adjuntar la política [AmazonWorkspacesPCAAccess](managed-policies.md#workspaces-pca-access)gestionada.
```
aws iam create-role --path /service-role/ --role-name AmazonWorkSpacesPCAAccess --assume-role-policy-document file://AmazonWorkSpacesPCAAccess.json
```
```
aws iam attach-role-policy —role-name AmazonWorkSpacesPCAAccess —policy-arn arn:aws:iam::aws:policy/AmazonWorkspacesPCAAccess
```
# AWS políticas gestionadas para WorkSpaces
El uso de políticas AWS administradas hace que añadir permisos a usuarios, grupos y roles sea más fácil que escribir las políticas usted mismo. Se necesita tiempo y experiencia para [crear políticas administradas por el cliente de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) que proporcionen a su equipo solo los permisos necesarios. Usa políticas AWS administradas para empezar rápidamente. Estas políticas cubren casos de uso comunes y están disponibles en tu AWS cuenta. Para obtener más información sobre las políticas AWS administradas, consulte las [políticas AWS administradas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.
AWS los servicios mantienen y AWS actualizan las políticas gestionadas. No puede cambiar los permisos en las políticas AWS gestionadas. En ocasiones, los servicios pueden añadir permisos adicionales a una política AWS gestionada para admitir nuevas funciones. Este tipo de actualización afecta a todas las identidades (usuarios, grupos y roles) donde se asocia la política. Lo más probable es que los servicios actualicen una política AWS administrada cuando se lanza una nueva función o cuando hay nuevas operaciones disponibles. Los servicios no eliminan los permisos de una política AWS administrada, por lo que las actualizaciones de la política no afectarán a los permisos existentes.
Además, AWS admite políticas administradas para funciones laborales que abarcan varios servicios. Por ejemplo, la política `ReadOnlyAccess` AWS gestionada proporciona acceso de solo lectura a todos los AWS servicios y recursos. Cuando un servicio lanza una nueva característica, AWS agrega permisos de solo lectura para las operaciones y los recursos nuevos. Para obtener una lista y descripciones de las políticas de funciones de trabajo, consulte [Políticas administradas de AWS para funciones de trabajo](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en la *Guía del usuario de IAM*.
## AWS política gestionada: AmazonWorkSpacesAdmin
**nota**
Los permisos que se muestran son solo para el SDK y no funcionarán para la consola. La consola requiere los permisos adicionales que figuran en la [referencia de permisos de operaciones de Amazon WorkSpaces Console](wsp-console-permissions-ref.md).
Esta política proporciona acceso a las acciones WorkSpaces administrativas de Amazon. Proporciona los siguientes permisos:
+ `workspaces`- Permite el acceso para realizar acciones administrativas en los recursos WorkSpaces personales y de WorkSpaces Pools.
+ `kms`: Permite acceder a la lista y descripción de claves KMS, así como a la lista de alias.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonWorkSpacesAdmin",
"Effect": "Allow",
"Action": [
"kms:DescribeKey",
"kms:ListAliases",
"kms:ListKeys",
"workspaces:CreateTags",
"workspaces:CreateWorkspaceImage",
"workspaces:CreateWorkspaces",
"workspaces:CreateWorkspacesPool",
"workspaces:CreateStandbyWorkspaces",
"workspaces:DeleteTags",
"workspaces:DeregisterWorkspaceDirectory",
"workspaces:DescribeTags",
"workspaces:DescribeWorkspaceBundles",
"workspaces:DescribeWorkspaceDirectories",
"workspaces:DescribeWorkspaces",
"workspaces:DescribeWorkspacesPools",
"workspaces:DescribeWorkspacesPoolSessions",
"workspaces:DescribeWorkspacesConnectionStatus",
"workspaces:ModifyCertificateBasedAuthProperties",
"workspaces:ModifySamlProperties",
"workspaces:ModifyStreamingProperties",
"workspaces:ModifyWorkspaceCreationProperties",
"workspaces:ModifyWorkspaceProperties",
"workspaces:RebootWorkspaces",
"workspaces:RebuildWorkspaces",
"workspaces:RegisterWorkspaceDirectory",
"workspaces:RestoreWorkspace",
"workspaces:StartWorkspaces",
"workspaces:StartWorkspacesPool",
"workspaces:StopWorkspaces",
"workspaces:StopWorkspacesPool",
"workspaces:TerminateWorkspaces",
"workspaces:TerminateWorkspacesPool",
"workspaces:TerminateWorkspacesPoolSession",
"workspaces:UpdateWorkspacesPool"
],
"Resource": "*"
}
]
}
```
------
## AWS política gestionada: AmazonWorkspaces PCAAccess
Esta política administrada proporciona acceso a los recursos de AWS Certificate Manager Private Certificate Authority (Private CA) de su AWS cuenta para la autenticación basada en certificados. Se incluye en la AmazonWorkSpaces PCAAccess función y proporciona los siguientes permisos:
+ `acm-pca`- Permite el acceso a una CA AWS privada para gestionar la autenticación basada en certificados.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"acm-pca:IssueCertificate",
"acm-pca:GetCertificate",
"acm-pca:DescribeCertificateAuthority"
],
"Resource": "arn:*:acm-pca:*:*:*",
"Condition": {
"StringLike": {
"aws:ResourceTag/euc-private-ca": "*"
}
}
}
]
}
```
------
## AWS política gestionada: AmazonWorkSpacesSelfServiceAccess
Esta política proporciona acceso al WorkSpaces servicio de Amazon para realizar acciones de WorkSpaces autoservicio iniciadas por un usuario. Se incluye en el rol `workspaces_DefaultRole` y proporciona los siguientes permisos:
+ `workspaces`- Permite a los usuarios acceder a las capacidades de WorkSpaces gestión de autoservicio.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"workspaces:RebootWorkspaces",
"workspaces:RebuildWorkspaces",
"workspaces:ModifyWorkspaceProperties"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## AWS política gestionada: AmazonWorkSpacesServiceAccess
Esta política proporciona acceso a la cuenta del cliente al WorkSpaces servicio de Amazon para lanzar un WorkSpace. Se incluye en el rol `workspaces_DefaultRole` y proporciona los siguientes permisos:
+ `ec2`- Permite el acceso para gestionar los recursos de Amazon EC2 asociados a WorkSpace, como las interfaces de red.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface",
"ec2:DescribeNetworkInterfaces"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## AWS política gestionada: AmazonWorkSpacesPoolServiceAccess
Esta política se usa en workspaces\$1DefaultRole, que se WorkSpaces utiliza para acceder a los recursos necesarios en la cuenta de cliente AWS de Pools. WorkSpaces Para obtener más información, consulte [Cree el rol workspaces\$1 DefaultRole](workspaces-access-control.md#create-default-role). Proporciona los siguientes permisos:
+ `ec2`- Permite el acceso para gestionar los recursos de Amazon EC2 asociados a un WorkSpaces grupo, como subredes VPCs, zonas de disponibilidad, grupos de seguridad y tablas de enrutamiento.
+ `s3`: permite el acceso para realizar las acciones necesarias en los buckets de Amazon S3 para los registros, la configuración de las aplicaciones y la característica de carpeta de inicio.
------
#### [ Commercial Regiones de AWS ]
La siguiente política de JSON se aplica al anuncio. Regiones de AWS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ProvisioningWorkSpacesPoolPermissions",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSecurityGroups",
"ec2:DescribeRouteTables",
"s3:ListAllMyBuckets"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "WorkSpacesPoolS3Permissions",
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:ListBucket",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetObjectVersion",
"s3:DeleteObjectVersion",
"s3:GetBucketPolicy",
"s3:PutBucketPolicy",
"s3:PutEncryptionConfiguration"
],
"Resource": [
"arn:aws:s3:::wspool-logs-*",
"arn:aws:s3:::wspool-app-settings-*",
"arn:aws:s3:::wspool-home-folder-*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
------
#### [ AWS GovCloud (US) Regions ]
La siguiente política JSON se aplica a las AWS GovCloud (US) Regions comerciales.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ProvisioningWorkSpacesPoolPermissions",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSecurityGroups",
"ec2:DescribeRouteTables",
"s3:ListAllMyBuckets"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "WorkSpacesPoolS3Permissions",
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:ListBucket",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetObjectVersion",
"s3:DeleteObjectVersion",
"s3:GetBucketPolicy",
"s3:PutBucketPolicy",
"s3:PutEncryptionConfiguration"
],
"Resource": [
"arn:aws-us-gov:s3:::wspool-logs-*",
"arn:aws-us-gov:s3:::wspool-app-settings-*",
"arn:aws-us-gov:s3:::wspool-home-folder-*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
------
## WorkSpaces actualizaciones de las políticas AWS gestionadas
Consulte los detalles sobre las actualizaciones de las políticas AWS administradas WorkSpaces desde que este servicio comenzó a realizar el seguimiento de estos cambios.
| Cambio | Descripción | Fecha |
| --- | --- | --- |
| [AWS política gestionada: AmazonWorkSpacesPoolServiceAccess](#workspaces-pools-service-access): Añadió una nueva política. | WorkSpaces se ha añadido una nueva política gestionada para conceder permisos para ver Amazon EC2 VPCs y los recursos relacionados, y para ver y gestionar los buckets de Amazon S3 para grupos. WorkSpaces | 24 de junio de 2024 |
| [AWS política gestionada: AmazonWorkSpacesAdmin](#workspaces-admin): política actualizada | WorkSpaces agregó varias acciones para los WorkSpaces grupos a la política WorkSpacesAdmin administrada de Amazon, lo que permitió a los administradores acceder a administrar los recursos de los WorkSpace grupos. | 24 de junio de 2024 |
| [AWS política gestionada: AmazonWorkSpacesAdmin](#workspaces-admin): política actualizada | WorkSpaces agregó la workspaces:RestoreWorkspace acción a la política WorkSpacesAdmin gestionada por Amazon, otorgando a los administradores acceso a la restauración WorkSpaces. | 25 de junio de 2023 |
| [AWS política gestionada: AmazonWorkspaces PCAAccess](#workspaces-pca-access): Añadió una nueva política. | WorkSpaces se agregó una nueva política administrada para otorgar acm-pca permiso para administrar la CA AWS privada a fin de administrar la autenticación basada en certificados. | 18 de noviembre de 2022 |
| WorkSpaces comenzó a rastrear los cambios | WorkSpaces comenzó a realizar un seguimiento de los cambios de sus políticas WorkSpaces gestionadas. | 1 de marzo de 2021 |
# Acceso a las instancias de streaming WorkSpaces y a los scripts de las mismas
Las aplicaciones y los scripts que se ejecutan en las instancias de WorkSpaces streaming deben incluir AWS credenciales en sus solicitudes de AWS API. Puede crear un rol de IAM para administrar estas credenciales. Un rol de IAM especifica un conjunto de permisos que puedes usar para acceder a AWS los recursos. Sin embargo, este rol no se asocia de manera exclusiva a una persona. En su lugar, puede asumirlo cualquier usuario que lo necesite.
Puede aplicar un rol de IAM a una instancia de WorkSpaces streaming. Cuando la instancia de streaming cambia al rol (lo asume), el rol proporciona credenciales de seguridad temporales. La aplicación o los scripts utilizan estas credenciales para realizar acciones de API y tareas de administración en la instancia de streaming. WorkSpaces administra el cambio de credenciales temporal por usted.
**Topics**
+ [Mejores prácticas para usar las funciones de IAM con WorkSpaces instancias de streaming](#best-practices-for-using-iam-role-with-streaming-instances)
+ [Configuración de un rol de IAM existente para usarlo con WorkSpaces instancias de streaming](#configuring-existing-iam-role-to-use-with-streaming-instances)
+ [Cómo crear un rol de IAM para usarlo con WorkSpaces instancias de streaming](#how-to-create-iam-role-to-use-with-streaming-instances)
+ [Cómo utilizar el rol de IAM con instancias de WorkSpaces streaming](#how-to-use-iam-role-with-streaming-instances)
## Mejores prácticas para usar las funciones de IAM con WorkSpaces instancias de streaming
Cuando utilices funciones de IAM con instancias de WorkSpaces streaming, te recomendamos que sigas estas prácticas:
+ Limita los permisos que concedes a las acciones y los recursos de la AWS API.
Siga los principios de privilegios mínimos al crear y adjuntar políticas de IAM a las funciones de IAM asociadas a las instancias de WorkSpaces streaming. Cuando utilices una aplicación o un script que requiera acceso a acciones o recursos de la AWS API, determina las acciones y los recursos específicos que se requieren. A continuación, cree políticas que permitan a la aplicación o al script realizar únicamente tales acciones. Para obtener más información, consulte [Concesión de mínimos privilegios](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) en la *Guía del usuario de IAM*.
+ Cree una función de IAM para cada WorkSpaces recurso.
Crear un rol de IAM único para cada WorkSpaces recurso es una práctica que sigue los principios de privilegios mínimos. Esto también le permite modificar los permisos de un recurso sin que ello afecte a otros recursos.
+ Límite dónde se pueden utilizar las credenciales.
Las políticas de IAM le permiten definir las condiciones en las que el rol de IAM se puede utilizar para acceder a un recurso. Por ejemplo, puede incluir condiciones para especificar un rango de direcciones IP desde el que pueden proceder las solicitudes. Esto impide que las credenciales se utilicen fuera de su entorno. Para obtener más información, consulte [Utilizar condiciones de política para mayor seguridad](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#use-policy-conditions) en la *Guía del usuario de IAM*.
## Configuración de un rol de IAM existente para usarlo con WorkSpaces instancias de streaming
En este tema se describe cómo configurar un rol de IAM existente para poder usarlo con. WorkSpaces
**Requisitos previos**
El rol de IAM que desee utilizar WorkSpaces debe cumplir los siguientes requisitos previos:
+ La función de IAM debe estar en la misma cuenta de Amazon Web Services que la instancia de WorkSpaces streaming.
+ El rol de IAM no puede ser un rol de servicio.
+ La política de relaciones de confianza asociada a la función de IAM debe incluir el WorkSpaces servicio como principal. Un *principal* es una entidad AWS que puede realizar acciones y acceder a los recursos. La política también debe incluir la acción `sts:AssumeRole`. Esta configuración de política WorkSpaces se define como una entidad de confianza.
+ Si va a aplicar la función de IAM a WorkSpaces, WorkSpaces debe ejecutar una versión del WorkSpaces agente publicada a partir del 3 de septiembre de 2019. Si va a aplicar la función de IAM a WorkSpaces, WorkSpaces debe utilizar una imagen que utilice una versión del agente publicada en la misma fecha o después.
**Para permitir que el director del WorkSpaces servicio asuma una función de IAM existente**
Para realizar los siguientes pasos, debe iniciar sesión en la cuenta como un usuario de IAM que tenga los permisos necesarios para enumerar y actualizar los roles de IAM. Si no tiene los permisos necesarios, pida al administrador de su cuenta de Amazon Web Services que realice estos pasos en su cuenta o que le conceda los permisos requeridos.
1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Seleccione **Roles** en el panel de navegación.
1. En la lista de roles de su cuenta, elija el nombre del rol que desee modificar.
1. Elija la pestaña **Relaciones de confianza** y, a continuación, **Editar relación de confianza**.
1. En **Policy Document (Documento de política)**, compruebe que la política de relación de confianza incluya la acción `sts:AssumeRole` para la entidad principal del servicio `workspaces.amazonaws.com`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"workspaces.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Cuando haya terminado de editar la política de confianza, elija **Update Trust Policy (Actualizar política de confianza)** para guardar los cambios.
1. El rol de IAM que haya seleccionado se mostrará en la WorkSpaces consola. Este rol concede permisos a las aplicaciones y los scripts para realizar acciones de la API y tareas de administración en las instancias de streaming.
## Cómo crear un rol de IAM para usarlo con WorkSpaces instancias de streaming
En este tema se describe cómo crear un nuevo rol de IAM para que pueda usarlo con WorkSpaces
1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. En el panel de navegación, seleccione **Roles** y luego seleccione **Crear rol**.
1. En **Seleccionar el tipo de entidad de confianza**, elija **Servicio de AWS**.
1. En la lista de AWS servicios, elija **WorkSpaces**.
1. En **Seleccione su caso de uso**, ya está seleccionada la opción **WorkSpaces — Permite que las WorkSpaces instancias llamen a los AWS servicios en su nombre**. Elija **Siguiente: permisos**.
1. Si es posible, seleccione la política que desea utilizar para la política de permisos o elija **Create policy (Crear política)** para abrir una pestaña nueva del navegador y crear una política nueva desde cero. Para obtener más información, consulte el paso 4 del procedimiento [Crear políticas de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start) en la *Guía del usuario de IAM*.
Después de crear la política, cierre esa pestaña y vuelva a la pestaña original. Seleccione la casilla de verificación situada junto a las políticas de permisos que WorkSpaces desee tener.
1. (Opcional) Configure un límite de permisos. Se trata de una característica avanzada que está disponible para los roles de servicio, pero no para los roles vinculados a servicios. Para obtener más información, consulte [Límites de permisos para las entidades de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) en la *Guía del usuario de IAM*.
1. Elija **Siguiente: etiquetas**. Opcionalmente, puede asociar etiquetas como pares de clave-valor. Para obtener más información, consulte [Etiquetado de usuarios y roles de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) en la *Guía del usuario de IAM*.
1. Elija **Siguiente: Revisar**.
1. En **Nombre de rol**, escriba un nombre de rol único en su cuenta de Amazon Web Services. Como otros AWS recursos pueden hacer referencia al rol, no puedes editar el nombre del rol una vez creado.
1. En **Role description (Descripción del rol)**, conserve la descripción del rol predeterminada o escriba una nueva.
1. Revise el rol y, a continuación, elija **Crear rol**.
## Cómo utilizar el rol de IAM con instancias de WorkSpaces streaming
Después de crear un rol de IAM, puede aplicarlo al WorkSpaces momento del lanzamiento. WorkSpaces También puede aplicar un rol de IAM a uno existente. WorkSpaces
Al aplicar un rol de IAM a WorkSpaces, WorkSpaces recupera las credenciales temporales y crea el perfil de credenciales **workspaces\$1machine\$1role** en la instancia. Las credenciales temporales son válidas durante 1 hora y las nuevas credenciales se recuperan cada hora. Las credenciales anteriores no vencen, por lo que puede utilizarlas mientras sean válidas. Puede usar el perfil de credenciales para llamar a AWS los servicios mediante programación mediante la interfaz de línea de AWS comandos (AWSCLI), AWS las herramientas o el AWS SDK con el idioma que prefiera. PowerShell
Cuando realice llamadas a la API, especifique **workspaces\$1machine\$1role** como el perfil de credenciales. De lo contrario, la operación falla debido a los permisos insuficientes.
WorkSpaces asume la función especificada mientras se aprovisiona la instancia de streaming. Como WorkSpaces utiliza la interfaz de red elástica que está conectada a la VPC para las llamadas a la AWS API, la aplicación o el script deben esperar a que la interfaz de red elástica esté disponible antes de realizar las llamadas a la AWS API. Si las llamadas a la API se realizan antes de que la interfaz de red elástica esté disponible, las llamadas fallan.
Los siguientes ejemplos muestran cómo se puede utilizar el perfil de credenciales **workspaces\$1machine\$1role** para describir las instancias de streaming (instancias) EC2 y crear el cliente Boto. Boto es el SDK de Amazon Web Services (AWS) para Python.
**Describa las instancias de streaming (EC2 instancias) mediante la AWS CLI**
```
aws ec2 describe-instances --region us-east-1 --profile workspaces_machine_role
```
**Describa las instancias de streaming (EC2 instancias) mediante AWS herramientas para PowerShell**
Debe usar AWS Tools para la PowerShell versión 3.3.563.1 o posterior, con el Amazon Web Services SDK para .NET versión 3.3.103.22 o posterior. Puede descargar el instalador de AWS Herramientas para Windows, que incluye AWS Herramientas para PowerShell y el SDK de Amazon Web Services para .NET, desde el PowerShell sitio web [AWSHerramientas para](https://aws.amazon.com/powershell/).
```
Get-EC2Instance -Region us-east-1 -ProfileName workspaces_machine_role
```
**Creación del cliente Boto mediante el AWS SDK para Python**
```
session = boto3.Session(profile_name=workspaces_machine_role')
```
# Referencia de permisos de operaciones de la consola de Amazon WorkSpaces
Solo se puede llamar a algunas API de Amazon WorkSpaces a través de la consola de administración de AWS. No son API públicas, en el sentido de que no se pueden llamar mediante programación y ningún SDK las proporciona. Estas operaciones de API incluyen:
+ workspaces:DirectoryAccessManagement
+ workspaces:CreateRootClientCertificate
+ workspaces:UpdateRootClientCertificate
+ workspaces:DeleteRootClientCertificate
+ workspaces:DescribeConsent
+ workspaces:UpdateConsent
## Operaciones de la consola de WorkSpaces y permisos necesarios para acciones
La consola utiliza acciones de API adicionales para sus características, por lo que es posible que los permisos para las API públicas de WorkSpaces no sean suficientes. Por ejemplo, un usuario que tiene permisos para usar la API de [CreateWorkSpaces](https://docs.aws.amazon.com/workspaces/latest/api/API_CreateWorkspaces.html) mediante una CLI/SDK puede encontrar errores al intentar crear un WorkSpace en la consola, ya que le faltan ciertos permisos para seleccionar o crear usuarios. En esta tabla se indican las características que solo están disponibles en la consola de WorkSpaces y los permisos adicionales necesarios que permiten a los usuarios trabajar con estas partes específicas de la consola.
La sección [Ejemplos de políticas](https://docs.aws.amazon.com/workspaces/latest/adminguide/workspaces-access-control.html#workspaces-example-iam-policies) proporciona la lista de permisos para realizar todas las tareas de WorkSpaces para WorkSpaces Pools, personales y de BYOL.
Como alternativa, también puede utilizar permisos granulares para aplicar permisos de privilegio mínimo para realizar una tarea.
En esta tabla se indican las características de la consola de WorkSpaces que se basan en las API que no proporciona el SDK y los permisos necesarios que permiten a los usuarios trabajar con estas partes específicas de la consola. Estos permisos deben añadirse además de otras acciones necesarias para las API que proporciona el SDK.
| Operaciones de la consola de WorkSpaces | Permisos necesarios |
| --- | --- |
| [Configuración rápida de WorkSpaces Personal](https://docs.aws.amazon.com/workspaces/latest/adminguide/managing-wsp-personal.html#getting-started) | workspaces:DirectoryAccessManagement ds:\$1 ec2:CreateVpc ec2:CreateSubnet ec2:CreateNetworkInterface ec2:CreateInternetGateway ec2:CreateRouteTable ec2:CreateRoute ec2:CreateTags ec2:CreateSecurityGroup ec2:DescribeInternetGateways ec2:DescribeSecurityGroups ec2:DescribeRouteTables ec2:DescribeVpcs ec2:DescribeSubnets ec2:DescribeNetworkInterfaces ec2:DescribeAvailabilityZones ec2:AttachInternetGateway ec2:AssociateRouteTable ec2:AuthorizeSecurityGroupIngress ec2:AuthorizeSecurityGroupEgress iam:CreateRole iam:GetRole iam:PutRolePolicy workspaces:DescribeAccount workspaces:DescribeWorkspaceDirectories workspaces:CreateWorkspaces workspaces:DescribeWorkspaces workspaces:RegisterWorkspaceDirectory workspaces:DescribeWorkspaceBundles workspaces:DescribeWorkspaces |
| [Limitación del acceso a los dispositivos de confianza en WorkSpaces Personal](https://docs.aws.amazon.com/workspaces/latest/adminguide/trusted-devices.html#configure-restriction) | workspaces:CreateRootClientCertificate workspaces:UpdateRootClientCertificate workspaces:DeleteRootClientCertificate ds:DescribeDirectories ec2:DescribeSubnets ec2:DescribeSecurityGroups workspaces:DescribeAccount workspaces:DescribeWorkspaceDirectories workspaces:DescribeTags workspaces:DescribeClientProperties workspaces:DescribeConnectClientAddins workspaces:DirectoryAccessManagement |
| [Creación de un WorkSpace en WorkSpaces Personal en la consola](https://docs.aws.amazon.com/workspaces/latest/adminguide/create-workspaces-personal.html): para crear, buscar o describir los usuarios del directorio de Directory Service | workspaces:DirectoryAccessManagement workspaces:DescribeAccount workspaces:CreateWorkspaces workspaces:DescribeWorkspaces workspaces:DescribeWorkspaceDirectories workspaces:DescribeWorkspaceBundles workspaces:DescribeTags workspaces:CreateTags workspaces:DescribeClientProperties kms:ListKeys kms:ListAliases kms:DescribeKey ds:DescribeTrusts ds:DescribeDirectories ec2:DescribeSubnets ec2:DescribeSecurityGroups |
| [Administración de usuarios en WorkSpaces Personal](https://docs.aws.amazon.com/workspaces/latest/adminguide/manage-workspaces-users.html): para editar usuarios y enviar un correo electrónico de invitación a los usuarios | workspaces:DirectoryAccessManagement workspaces:DescribeAccount workspaces:DescribeWorkspaceDirectories workspaces:DescribeWorkspaces workspaces:DescribeTags workspaces:DescribeWorkspaceBundles workspaces:DescribeWorkspacesConnectionStatus workspaces:DescribeWorkspaceAssociations workspaces:DescribeWorkspaceSnapshots workspaces:DescribeWorkspaceImages workspaces:DescribeConnectionAliases |
| [Actualización de la cuenta de AD Connector (AD Connector) en WorkSpaces Personal](https://docs.aws.amazon.com/workspaces/latest/adminguide/connect-account.html) | workspaces:DirectoryAccessManagement ds:DescribeDirectories ds:UpdateDirectory ec2:DescribeSubnets ec2:DescribeSecurityGroups workspaces:DescribeAccount workspaces:DescribeWorkspaceDirectories workspaces:DescribeTags workspaces:DescribeClientProperties workspaces:DescribeConnectClientAddins |
| [Selección de una unidad organizativa en WorkSpaces Personal](https://docs.aws.amazon.com/workspaces/latest/adminguide/select-ou.html) | workspaces:DirectoryAccessManagement ds:DescribeDirectories ec2:DescribeSubnets ec2:DescribeSecurityGroups workspaces:DescribeAccount workspaces:DescribeWorkspaceDirectories workspaces:DescribeTags workspaces:DescribeClientProperties workspaces:DescribeConnectClientAddins workspaces:ModifyWorkspaceCreationProperties |
| [Activación de su cuenta para BYOL](https://docs.aws.amazon.com/workspaces/latest/adminguide/byol-windows-images.html): para confirmar que comprende los requisitos para usar BYOL WorkSpaces | workspaces:DescribeConsent workspaces:UpdateConsent workspaces:DescribeAccount workspaces:ListAccountLinks workspaces:DescribeWorkspaceBundles workspaces:DescribeWorkspaceImages workspaces:DescribeWorkspaceDirectories |