Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Sécurité sur Amazon WorkSpaces
La sécurité du cloud AWS est la priorité absolue. En tant que AWS client, vous bénéficiez d'un centre de données et d'une architecture réseau conçus pour répondre aux exigences des entreprises les plus sensibles en matière de sécurité.
La sécurité est une responsabilité partagée entre vous AWS et vous. Le [modèle de responsabilité partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) décrit ceci comme la sécurité *du* cloud et la sécurité *dans* le cloud :
+ **Sécurité du cloud** : AWS est chargée de protéger l'infrastructure qui exécute les AWS services dans le AWS Cloud. AWS vous fournit également des services que vous pouvez utiliser en toute sécurité. Des auditeurs tiers testent et vérifient régulièrement l'efficacité de notre sécurité dans le cadre des programmes de [AWS conformité Programmes](https://aws.amazon.com/compliance/programs/) de de conformité. Pour en savoir plus sur les programmes de conformité applicables à Amazon WorkSpaces, consultez la section [AWS Services concernés par programme de conformitéAWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Sécurité dans le cloud** — Votre responsabilité est déterminée par le AWS service que vous utilisez. Vous êtes également responsable d’autres facteurs, y compris la sensibilité de vos données, les exigences de votre entreprise et la législation et la réglementation applicables.
Cette documentation vous aide à comprendre comment appliquer le modèle de responsabilité partagée lors de son utilisation WorkSpaces. Les rubriques suivantes expliquent comment procéder à la configuration WorkSpaces pour atteindre vos objectifs de sécurité et de conformité. Vous apprendrez également à utiliser d'autres AWS services qui vous aident à surveiller et à sécuriser vos WorkSpaces ressources.
**Topics**
+ [Protection des données sur Amazon WorkSpaces](data-protection.md)
+ [Gestion des identités et des accès pour WorkSpaces](workspaces-access-control.md)
+ [Validation de conformité pour Amazon WorkSpaces](compliance-validation.md)
+ [Résilience chez Amazon WorkSpaces](disaster-recovery-resiliency.md)
+ [Sécurité de l'infrastructure sur Amazon WorkSpaces](infrastructure-security.md)
+ [Gestion des mises à jour dans WorkSpaces](update-management.md)
# Protection des données sur Amazon WorkSpaces
Le [modèle de responsabilité AWS partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) de s'applique à la protection des données sur Amazon WorkSpaces. Comme décrit dans ce modèle, AWS est chargé de protéger l'infrastructure mondiale qui gère tous les AWS Cloud. La gestion du contrôle de votre contenu hébergé sur cette infrastructure relève de votre responsabilité. Vous êtes également responsable des tâches de configuration et de gestion de la sécurité des Services AWS que vous utilisez. Pour plus d’informations sur la confidentialité des données, consultez [Questions fréquentes (FAQ) sur la confidentialité des données](https://aws.amazon.com/compliance/data-privacy-faq/). Pour en savoir plus sur la protection des données en Europe, consultez le billet de blog Modèle de responsabilité partagée [AWS et RGPD (Règlement général sur la protection des données)](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) sur le *Blog de sécuritéAWS *.
À des fins de protection des données, nous vous recommandons de protéger les Compte AWS informations d'identification et de configurer les utilisateurs individuels avec AWS IAM Identity Center ou Gestion des identités et des accès AWS (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :
+ Utilisez l’authentification multifactorielle (MFA) avec chaque compte.
+ SSL/TLS À utiliser pour communiquer avec AWS les ressources. Nous exigeons TLS 1.2 et recommandons TLS 1.3.
+ Configurez l'API et la journalisation de l'activité des utilisateurs avec AWS CloudTrail. Pour plus d'informations sur l'utilisation des CloudTrail sentiers pour capturer AWS des activités, consultez la section [Utilisation des CloudTrail sentiers](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) dans le *guide de AWS CloudTrail l'utilisateur*.
+ Utilisez des solutions de AWS chiffrement, ainsi que tous les contrôles de sécurité par défaut qu'ils contiennent Services AWS.
+ Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données sensibles stockées dans Amazon S3.
+ Si vous avez besoin de modules cryptographiques validés par la norme FIPS 140-3 pour accéder AWS via une interface de ligne de commande ou une API, utilisez un point de terminaison FIPS. Pour plus d’informations sur les points de terminaison FIPS disponibles, consultez [Norme FIPS (Federal Information Processing Standard) 140-3](https://aws.amazon.com/compliance/fips/).
Nous vous recommandons fortement de ne jamais placer d’informations confidentielles ou sensibles, telles que les adresses e-mail de vos clients, dans des balises ou des champs de texte libre tels que le champ **Nom**. Cela inclut lorsque vous travaillez avec WorkSpaces ou d'autres Services AWS utilisateurs de la console, de l'API ou AWS SDKs. AWS CLI Toutes les données que vous entrez dans des balises ou des champs de texte de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez une adresse URL à un serveur externe, nous vous recommandons fortement de ne pas inclure d’informations d’identification dans l’adresse URL permettant de valider votre demande adressée à ce serveur.
Pour plus d'informations sur le WorkSpaces chiffrement des terminaux FIPS, consultez[Configurer l'autorisation FedRAMP ou la conformité au DoD SRG pour Personal WorkSpaces](fips-encryption.md).
## Chiffrement au repos
Vous pouvez chiffrer les volumes de stockage pour votre WorkSpaces utilisation de AWS KMS AWS Key Management Service Key from. Pour de plus amples informations, veuillez consulter [Chiffré WorkSpaces dans WorkSpaces Personal](encrypt-workspaces.md).
Lorsque vous créez WorkSpaces avec des volumes chiffrés, WorkSpaces utilisez Amazon Elastic Block Store (Amazon EBS) pour créer et gérer ces volumes. EBS chiffre vos volumes avec une clé de données à l'aide de l'algorithme AES-256 standard. Pour plus d'informations, consultez [Amazon EBS Encryption](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html) dans le *guide de l' EC2 utilisateur Amazon*.
## Chiffrement en transit
Pour l' PCoIP, les données en transit sont cryptées à l'aide du cryptage TLS 1.2 et de la signature des demandes SigV4. Le protocole PCo IP utilise le trafic UDP crypté, avec cryptage AES, pour le streaming de pixels. La connexion de streaming, utilisant le port 4172 (TCP et UDP), est cryptée à l'aide des chiffrements AES-128 et AES-256, mais le cryptage par défaut est de 128 bits. Vous pouvez modifier cette valeur par défaut sur 256 bits, soit en utilisant le paramètre de stratégie de groupe **Configurer les paramètres de sécurité PCo IP** pour Windows WorkSpaces, soit en modifiant les **paramètres de sécurité PCo IP** dans le `pcoip-agent.conf` fichier pour Amazon Linux. WorkSpaces
Pour en savoir plus sur l'administration des politiques de groupe pour Amazon WorkSpaces, consultez [Configuration des paramètres de sécurité PCo IP](group_policy.md#gp_security)[Gérez votre Windows WorkSpaces dans WorkSpaces Personal](group_policy.md). Pour en savoir plus sur la modification du `pcoip-agent.conf` fichier, consultez [Contrôlez le comportement de l'agent PCo IP sur Amazon Linux WorkSpaces](manage_linux_workspace.md#pcoip_agent_linux) la section [Paramètres de sécurité PCo IP](https://www.teradici.com/web-help/pcoip_agent/standard_agent/linux/21.03/admin-guide/configuring/configuring/#pcoip-security-settings) dans la documentation de Teradici.
Pour le DCV, le streaming et les données de contrôle en transit sont chiffrés à l'aide du cryptage TLS 1.3 pour le trafic UDP et du cryptage TLS 1.2 pour le trafic TCP, avec des chiffrements AES-256.
# Gestion des identités et des accès pour WorkSpaces
Par défaut, les utilisateurs IAM ne sont pas autorisés à accéder aux WorkSpaces ressources et aux opérations. Pour permettre aux utilisateurs IAM de gérer les WorkSpaces ressources, vous devez créer une stratégie IAM qui leur accorde explicitement des autorisations, et associer cette politique aux utilisateurs ou aux groupes IAM qui ont besoin de ces autorisations.
**Note**
Amazon WorkSpaces ne prend pas en charge le provisionnement d'informations d'identification IAM dans un WorkSpace (comme dans le cas d'un profil d'instance).
Pour activer l’accès, ajoutez des autorisations à vos utilisateurs, groupes ou rôles :
+ Utilisateurs et groupes dans AWS IAM Identity Center :
Créez un jeu d’autorisations. Suivez les instructions de la rubrique [Création d’un jeu d’autorisations](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) du *Guide de l’utilisateur AWS IAM Identity Center *.
+ Utilisateurs gérés dans IAM par un fournisseur d’identité :
Créez un rôle pour la fédération d’identité. Suivez les instructions de la rubrique [Création d’un rôle pour un fournisseur d’identité tiers (fédération)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) dans le *Guide de l’utilisateur IAM*.
+ Utilisateurs IAM :
+ Créez un rôle que votre utilisateur peut assumer. Suivez les instructions de la rubrique [Création d’un rôle pour un utilisateur IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) dans le *Guide de l’utilisateur IAM*.
+ (Non recommandé) Attachez une politique directement à un utilisateur ou ajoutez un utilisateur à un groupe d’utilisateurs. Suivez les instructions de la rubrique [Ajout d’autorisations à un utilisateur (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) du *Guide de l’utilisateur IAM*.
Vous trouverez ci-dessous des ressources supplémentaires pour IAM :
+ Pour plus d'informations sur les politiques IAM, consultez [Politiques et autorisations](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dans le *Guide de l'utilisateur IAM*.
+ Pour plus d'informations sur IAM, consultez [Gestion des identités et des accès (IAM)](https://aws.amazon.com/iam) et le [https://docs.aws.amazon.com/IAM/latest/UserGuide/](https://docs.aws.amazon.com/IAM/latest/UserGuide/).
+ Pour plus d'informations sur les ressources, les actions et les clés contextuelles de condition WorkSpaces spécifiques à utiliser dans les politiques d'autorisation IAM, consultez la section [Actions, ressources et clés de condition pour Amazon WorkSpaces](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonworkspaces.html) dans le guide de l'utilisateur *IAM*.
+ Pour obtenir un outil qui vous aide à créer des politiques IAM, consultez le billet de blog [AWS Policy Generator](https://aws.amazon.com/blogs/aws/aws-policy-generator/). Vous pouvez également utiliser le [simulateur de politiques IAM](https://docs.aws.amazon.com/IAM/latest/UsingPolicySimulatorGuide/) pour tester si une stratégie autorise ou refuse une demande spécifique à AWS.
**Topics**
+ [Exemples de politiques](#workspaces-example-iam-policies)
+ [Spécifier WorkSpaces les ressources dans une politique IAM](#wsp_iam_resource)
+ [Création du rôle workspaces\$1 DefaultRole](#create-default-role)
+ [Création du rôle AmazonWorkSpaces PCAAccess de service](#create-pca-access-role)
+ [AWS politiques gérées pour WorkSpaces](managed-policies.md)
+ [Accès aux instances de streaming WorkSpaces et scripts y afférents](using-iam-roles-to-grant-permissions-to-applications-scripts-streaming-instances.md)
+ [Référence des autorisations relatives aux opérations sur Amazon WorkSpaces Console](wsp-console-permissions-ref.md)
## Exemples de politiques
Les exemples suivants présentent des déclarations de politique que vous pouvez utiliser pour contrôler les autorisations accordées aux utilisateurs d'IAM sur Amazon WorkSpaces.
### Exemple 1 : accorder l'accès pour effectuer des tâches WorkSpaces personnelles et des tâches de groupe
La déclaration de politique suivante accorde à un utilisateur IAM l'autorisation d'effectuer des tâches WorkSpaces personnelles et des tâches de pool.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:*",
"workspaces:*",
"application-autoscaling:DeleteScalingPolicy",
"application-autoscaling:DeleteScheduledAction",
"application-autoscaling:DeregisterScalableTarget",
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"application-autoscaling:PutScalingPolicy",
"application-autoscaling:PutScheduledAction",
"application-autoscaling:RegisterScalableTarget",
"cloudwatch:DeleteAlarms",
"cloudwatch:DescribeAlarms",
"cloudwatch:PutMetricAlarm",
"ec2:AssociateRouteTable",
"ec2:AttachInternetGateway",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateInternetGateway",
"ec2:CreateNetworkInterface",
"ec2:CreateRoute",
"ec2:CreateRouteTable",
"ec2:CreateSecurityGroup",
"ec2:CreateSubnet",
"ec2:CreateTags",
"ec2:CreateVpc",
"ec2:DeleteNetworkInterface",
"ec2:DeleteSecurityGroup",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeInternetGateways",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"iam:AttachRolePolicy",
"iam:CreatePolicy",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:PutRolePolicy",
"kms:ListAliases",
"kms:ListKeys",
"secretsmanager:ListSecrets",
"tag:GetResources",
"sso-directory:SearchUsers",
"sso:CreateApplication",
"sso:DeleteApplication",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:GetApplicationGrant",
"sso:ListInstances",
"sso:PutApplicationAssignmentConfiguration",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "workspaces.amazonaws.com"
}
}
}
]
}
```
------
### Exemple 2 : accorder l'accès pour effectuer des tâches WorkSpaces personnelles
La déclaration de politique suivante accorde à un utilisateur IAM l'autorisation d'effectuer toutes les tâches WorkSpaces personnelles.
Bien qu'Amazon WorkSpaces prenne totalement en charge les `Resource` éléments `Action` et lors de l'utilisation de l'API et des outils de ligne de commande, pour utiliser Amazon WorkSpaces depuis le AWS Management Console, un utilisateur IAM doit disposer des autorisations nécessaires pour les actions et ressources suivantes :
+ Mesures : `"ds:*"`
+ Ressources : `"Resource": "*"`
L'exemple de politique suivant montre comment autoriser un utilisateur IAM à utiliser Amazon WorkSpaces depuis le AWS Management Console.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"workspaces:*",
"ds:*",
"iam:GetRole",
"iam:CreateRole",
"iam:PutRolePolicy",
"iam:CreatePolicy",
"iam:AttachRolePolicy",
"iam:ListRoles",
"kms:ListAliases",
"kms:ListKeys",
"ec2:CreateVpc",
"ec2:CreateSubnet",
"ec2:CreateNetworkInterface",
"ec2:CreateInternetGateway",
"ec2:CreateRouteTable",
"ec2:CreateRoute",
"ec2:CreateTags",
"ec2:CreateSecurityGroup",
"ec2:DescribeInternetGateways",
"ec2:DescribeSecurityGroups",
"ec2:DescribeRouteTables",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeAvailabilityZones",
"ec2:AttachInternetGateway",
"ec2:AssociateRouteTable",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:DeleteSecurityGroup",
"ec2:DeleteNetworkInterface",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"secretsmanager:ListSecrets",
"sso-directory:SearchUsers",
"sso:CreateApplication",
"sso:DeleteApplication",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:GetApplicationGrant",
"sso:ListInstances",
"sso:PutApplicationAssignmentConfiguration",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "workspaces.amazonaws.com"
}
}
}
]
}
```
------
### Exemple 3 : accorder l'accès pour effectuer des tâches liées aux WorkSpaces pools
La déclaration de politique suivante accorde à un utilisateur IAM l'autorisation d'effectuer toutes les tâches du WorkSpaces pool.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"workspaces:*",
"application-autoscaling:DeleteScalingPolicy",
"application-autoscaling:DeleteScheduledAction",
"application-autoscaling:DeregisterScalableTarget",
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"application-autoscaling:PutScalingPolicy",
"application-autoscaling:PutScheduledAction",
"application-autoscaling:RegisterScalableTarget",
"cloudwatch:DeleteAlarms",
"cloudwatch:DescribeAlarms",
"cloudwatch:PutMetricAlarm",
"ec2:CreateSecurityGroup",
"ec2:CreateTags",
"ec2:DescribeInternetGateways",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"iam:AttachRolePolicy",
"iam:CreatePolicy",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:PutRolePolicy",
"secretsmanager:ListSecrets",
"tag:GetResources"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "workspaces.amazonaws.com"
}
}
},
{
"Action": "iam:CreateServiceLinkedRole",
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/aws-service-role/workspaces.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_WorkSpacesPool",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "workspaces.application-autoscaling.amazonaws.com"
}
}
}
]
}
```
------
### Exemple 4 : Exécuter toutes les WorkSpaces tâches pour le BYOL WorkSpaces
La déclaration de politique suivante accorde à un utilisateur IAM l'autorisation d'effectuer toutes les WorkSpaces tâches, y compris les tâches Amazon EC2 nécessaires à la création de la licence Bring Your Own License (BYOL). WorkSpaces
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:*",
"workspaces:*",
"ec2:AssociateRouteTable",
"ec2:AttachInternetGateway",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateInternetGateway",
"ec2:CreateNetworkInterface",
"ec2:CreateRoute",
"ec2:CreateRouteTable",
"ec2:CreateSecurityGroup",
"ec2:CreateSubnet",
"ec2:CreateTags",
"ec2:CreateVpc",
"ec2:DeleteNetworkInterface",
"ec2:DeleteSecurityGroup",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeImages",
"ec2:DescribeInternetGateways",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:ModifyImageAttribute",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"iam:CreateRole",
"iam:GetRole",
"iam:PutRolePolicy",
"kms:ListAliases",
"kms:ListKeys"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "workspaces.amazonaws.com"
}
}
}
]
}
```
------
## Spécifier WorkSpaces les ressources dans une politique IAM
Pour spécifier une WorkSpaces ressource dans l'`Resource`élément de la déclaration de politique, utilisez l'Amazon Resource Name (ARN) de la ressource. Vous contrôlez l'accès à vos WorkSpaces ressources en autorisant ou en refusant les autorisations d'utiliser les actions d'API spécifiées dans l'`Action`élément de votre déclaration de politique IAM. WorkSpaces définit ARNs des ensembles WorkSpaces, des groupes d'adresses IP et des annuaires.
### WorkSpace ARN
La syntaxe d'un WorkSpace ARN est celle illustrée dans l'exemple suivant.
```
arn:aws:workspaces:region:account_id:workspace/workspace_identifier
```
*region*
La région dans laquelle WorkSpace se trouve (par exemple,`us-east-1`).
*account\$1id*
L'identifiant du AWS compte, sans tiret (par exemple,`123456789012`).
*identificateur\$1espace de travail*
L'ID du WorkSpace (par exemple,`ws-a1bcd2efg`).
Voici le format de l'`Resource`élément d'une déclaration de politique qui identifie un élément spécifique WorkSpace.
```
"Resource": "arn:aws:workspaces:region:account_id:workspace/workspace_identifier"
```
Vous pouvez utiliser le `*` caractère générique pour spécifier tout WorkSpaces ce qui appartient à un compte spécifique dans une région spécifique.
### WorkSpace pool ARN
Un ARN de WorkSpace pool possède la syntaxe illustrée dans l'exemple suivant.
```
arn:aws:workspaces:region:account_id:workspacespool/workspacespool_identifier
```
*region*
La région dans laquelle WorkSpace se trouve (par exemple,`us-east-1`).
*account\$1id*
L'identifiant du AWS compte, sans tiret (par exemple,`123456789012`).
*espace de travail pool\$1identifier*
L'ID du WorkSpace pool (par exemple,`ws-a1bcd2efg`).
Voici le format de l'`Resource`élément d'une déclaration de politique qui identifie un élément spécifique WorkSpace.
```
"Resource": "arn:aws:workspaces:region:account_id:workspacespool/workspacespool_identifier"
```
Vous pouvez utiliser le `*` caractère générique pour spécifier tout WorkSpaces ce qui appartient à un compte spécifique dans une région spécifique.
### ARN du certificat
L'ARN d'un WorkSpace certificat possède la syntaxe illustrée dans l'exemple suivant.
```
arn:aws:workspaces:region:account_id:workspacecertificate/workspacecertificateidentifier
```
*region*
La région dans laquelle WorkSpace se trouve (par exemple,`us-east-1`).
*account\$1id*
L'identifiant du AWS compte, sans tiret (par exemple,`123456789012`).
*identificateur de certificat d'espace de travail*
L'ID du WorkSpace certificat (par exemple,`ws-a1bcd2efg`).
Le format de l'`Resource`élément d'une déclaration de politique identifiant un WorkSpace certificat spécifique est le suivant.
```
"Resource": "arn:aws:workspaces:region:account_id:workspacecertificate/workspacecertificate_identifier"
```
Vous pouvez utiliser le `*` caractère générique pour spécifier tout WorkSpaces ce qui appartient à un compte spécifique dans une région spécifique.
### ARN d'image
La syntaxe WorkSpace d'un ARN d'image est celle illustrée dans l'exemple suivant.
```
arn:aws:workspaces:region:account_id:workspaceimage/image_identifier
```
*region*
La région dans laquelle se trouve l' WorkSpace image (par exemple,`us-east-1`).
*account\$1id*
L'identifiant du AWS compte, sans tiret (par exemple,`123456789012`).
*bundle\$1identifier*
L'ID de l' WorkSpace image (par exemple,`wsi-a1bcd2efg`).
Voici le format de l'élément `Resource` d'une déclaration de politique qui identifie une image spécifique.
```
"Resource": "arn:aws:workspaces:region:account_id:workspaceimage/image_identifier"
```
Vous pouvez utiliser le caractère générique `*` pour spécifier toutes les images qui appartiennent à un compte spécifique dans une région donnée.
### ARN de bundle
La syntaxe d'un ARN d'offre est celle de l'exemple suivant.
```
arn:aws:workspaces:region:account_id:workspacebundle/bundle_identifier
```
*region*
La région dans laquelle WorkSpace se trouve (par exemple,`us-east-1`).
*account\$1id*
L'identifiant du AWS compte, sans tiret (par exemple,`123456789012`).
*bundle\$1identifier*
L'ID du WorkSpace bundle (par exemple,`wsb-a1bcd2efg`).
Voici le format de l'élément `Resource` d'une déclaration de stratégie qui identifie un bundle spécifique.
```
"Resource": "arn:aws:workspaces:region:account_id:workspacebundle/bundle_identifier"
```
Vous pouvez utiliser le caractère générique `*` pour spécifier tous les bundles qui appartiennent à un compte spécifique dans une région donnée.
### ARN de groupe d'IP
La syntaxe d'un ARN de groupe IP est celle de l'exemple suivant.
```
arn:aws:workspaces:region:account_id:workspaceipgroup/ipgroup_identifier
```
*region*
La région dans laquelle WorkSpace se trouve (par exemple,`us-east-1`).
*account\$1id*
L'identifiant du AWS compte, sans tiret (par exemple,`123456789012`).
*ipgroup\$1identifier*
ID du groupe d'IP (par exemple, `wsipg-a1bcd2efg`).
Voici le format de l'élément `Resource` d'une déclaration de stratégie qui identifie un groupe d'IP spécifique.
```
"Resource": "arn:aws:workspaces:region:account_id:workspaceipgroup/ipgroup_identifier"
```
Vous pouvez utiliser le caractère générique `*` pour spécifier tous les groupes d'IP qui appartiennent à un compte spécifique dans une région donnée.
### ARN d'annuaire
La syntaxe d'un ARN d'annuaire est celle de l'exemple suivant.
```
arn:aws:workspaces:region:account_id:directory/directory_identifier
```
*region*
La région dans laquelle WorkSpace se trouve (par exemple,`us-east-1`).
*account\$1id*
L'identifiant du AWS compte, sans tiret (par exemple,`123456789012`).
*directory\$1identifier*
ID de l'annuaire (par exemple, `d-12345a67b8`).
Voici le format de l'élément `Resource` d'une déclaration de stratégie qui identifie un annuaire spécifique.
```
"Resource": "arn:aws:workspaces:region:account_id:directory/directory_identifier"
```
Vous pouvez utiliser le caractère générique `*` pour spécifier tous les annuaires qui appartiennent à un compte spécifique dans une région donnée.
### ARN d'alias de connexion
La syntaxe d'un ARN d'alias de connexion est celle de l'exemple suivant.
```
arn:aws:workspaces:region:account_id:connectionalias/connectionalias_identifier
```
*region*
Région dans laquelle se trouve l'alias de connexion (par exemple,`us-east-1`).
*account\$1id*
L'identifiant du AWS compte, sans tiret (par exemple,`123456789012`).
*connectionalias\$1identifier*
ID de l'alias de connexion (par exemple,`wsca-12345a67b8`).
Voici le format de l'élément `Resource` d'une déclaration de politique qui identifie un alias de connexion spécifique.
```
"Resource": "arn:aws:workspaces:region:account_id:connectionalias/connectionalias_identifier"
```
Vous pouvez utiliser le caractère générique `*` pour spécifier tous les alias de connexion qui appartiennent à un compte spécifique dans une région donnée.
### Actions d'API sans aucune prise en charge des autorisations au niveau des ressources
Vous ne pouvez pas spécifier un ARN de ressource avec les actions d'API suivantes :
+ `AssociateIpGroups`
+ `CreateIpGroup`
+ `CreateTags`
+ `DeleteTags`
+ `DeleteWorkspaceImage`
+ `DescribeAccount`
+ `DescribeAccountModifications`
+ `DescribeIpGroups`
+ `DescribeTags`
+ `DescribeWorkspaceDirectories`
+ `DescribeWorkspaceImages`
+ `DescribeWorkspaces`
+ `DescribeWorkspacesConnectionStatus`
+ `DisassociateIpGroups`
+ `ImportWorkspaceImage`
+ `ListAvailableManagementCidrRanges`
+ `ModifyAccount`
Pour les actions d'API qui ne prennent pas en charge les autorisations au niveau des ressources, vous devez spécifier l'instruction de ressource indiquée dans l'exemple suivant.
```
"Resource": "*"
```
### Actions d'API qui ne prennent pas en charge les restrictions au niveau du compte sur les ressources partagées
Pour les actions d'API suivantes, vous ne pouvez pas spécifier d'ID de compte dans l'ARN de ressources qui n'appartiennent pas au compte :
+ `AssociateConnectionAlias`
+ `CopyWorkspaceImage`
+ `DisassociateConnectionAlias`
Pour ces actions d'API, vous pouvez spécifier un ID de compte dans l'ARN uniquement lorsque ce compte possède les ressources sur lesquelles agir. Lorsque le compte ne possède pas les ressources, vous devez spécifier `*` pour l'ID du compte, comme l'illustre l'exemple suivant.
```
"arn:aws:workspaces:region:*:resource_type/resource_identifier"
```
## Création du rôle workspaces\$1 DefaultRole
Avant de pouvoir enregistrer un annuaire à l'aide de l'API, vous devez vérifier qu'il existe un rôle nommé `workspaces_DefaultRole`. Ce rôle est créé lors de la configuration rapide ou si vous lancez un WorkSpace en utilisant le AWS Management Console, et il WorkSpaces autorise Amazon à accéder à des AWS ressources spécifiques en votre nom. Si ce rôle n'existe pas, vous pouvez le créer à l'aide de la procédure suivante.
**Pour créer le rôle workspaces\$1 DefaultRole**
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le panneau de navigation de gauche, sélectionnez **Roles** (Rôles).
1. Sélectionnez **Create role** (Créer un rôle).
1. Sous **Sélectionner un type d'entité de confiance**, choisissez **Autre compte AWS **.
1. Pour **Account ID (ID de compte)**, saisissez votre ID de compte sans tirets ni espaces.
1. Pour **Options**, ne spécifiez pas l'authentification multi-facteurs (MFA).
1. Sélectionnez **Next: Permissions** (Étape suivante : autorisations).
1. Sur la page **Joindre les politiques d'autorisation**, sélectionnez les politiques AWS gérées **AmazonWorkSpacesServiceAccess**AmazonWorkSpacesSelfServiceAccess****, et **AmazonWorkSpacesPoolServiceAccess**. Pour plus d'informations sur ces politiques gérées, consultez[AWS politiques gérées pour WorkSpaces](managed-policies.md).
1. Sous **Définir une limite d'autorisations**, nous vous recommandons de ne pas utiliser de limite d'autorisations en raison du risque de conflits avec les stratégies attachées à ce rôle. De tels conflits pourraient bloquer certaines autorisations nécessaires pour le rôle.
1. Choisissez **Suivant : Balises**.
1. Dans la page **Add tags (optional) (Ajouter des balises (facultatif))**, ajoutez des balises si nécessaire.
1. Choisissez **Suivant : Vérification**.
1. Sur la page **Vérification**, pour **Nom du rôle**, saisissez **workspaces\$1DefaultRole**.
1. (Facultatif) Pour **Role description (Description du rôle)**, entrez une description.
1. Choisissez **Create Role** (Créer un rôle).
1. Sur la page **Résumé** du DefaultRole rôle workspaces\$1, choisissez l'onglet Relations de **confiance**.
1. Dans l'onglet **Trust relationships** (Relations d'approbation), choisissez **Edit trust relationship** (Modifier la relation d'approbation).
1. Dans la page **Edit Trust Relationship (Modifier la relation d'approbation)** remplacez la déclaration de stratégie existante par la déclaration suivante.
```
{
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "workspaces.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
1. Choisissez **Mettre à jour la politique d'approbation**.
## Création du rôle AmazonWorkSpaces PCAAccess de service
Avant que les utilisateurs puissent se connecter via l'authentification basée sur des certificats, vous devez vérifier qu'il existe un rôle nommé `AmazonWorkSpacesPCAAccess`. Ce rôle est créé lorsque vous activez l'authentification basée sur des certificats sur un annuaire à l'aide du AWS Management Console, et il accorde à Amazon WorkSpaces l'autorisation d'accéder aux AWS CA privée ressources en votre nom. Si ce rôle n'existe pas parce que vous n'utilisez pas la console pour gérer l'authentification basée sur des certificats, vous pouvez le créer à l'aide de la procédure suivante.
**Pour créer le rôle de AmazonWorkSpaces PCAAccess service à l'aide du AWS CLI**
1. Créez un fichier JSON nommé `AmazonWorkSpacesPCAAccess.json` avec le texte suivant.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "prod.euc.ecm.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Ajustez le `AmazonWorkSpacesPCAAccess.json` chemin selon vos besoins et exécutez les AWS CLI commandes suivantes pour créer le rôle de service et associer la politique [AmazonWorkspacesPCAAccess](managed-policies.md#workspaces-pca-access)gérée.
```
aws iam create-role --path /service-role/ --role-name AmazonWorkSpacesPCAAccess --assume-role-policy-document file://AmazonWorkSpacesPCAAccess.json
```
```
aws iam attach-role-policy —role-name AmazonWorkSpacesPCAAccess —policy-arn arn:aws:iam::aws:policy/AmazonWorkspacesPCAAccess
```
# AWS politiques gérées pour WorkSpaces
L'utilisation de politiques AWS gérées permet d'ajouter des autorisations aux utilisateurs, aux groupes et aux rôles plus facilement que de rédiger vous-même des politiques. Il faut du temps et de l'expertise pour créer des [politiques gérées par le client IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) qui ne fournissent aux équipes que les autorisations dont elles ont besoin. Utilisez des politiques AWS gérées pour démarrer rapidement. Ces politiques couvrent les cas d'utilisation courants et sont disponibles dans votre AWS compte. Pour plus d'informations sur les politiques AWS gérées, voir les [politiques AWS gérées](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dans le *guide de l'utilisateur IAM*.
AWS les services maintiennent et mettent à jour les politiques AWS gérées. Vous ne pouvez pas modifier les autorisations dans les politiques AWS gérées. Les services peuvent parfois ajouter des autorisations supplémentaires à une politique AWS gérée pour prendre en charge de nouvelles fonctionnalités. Ce type de mise à jour affecte toutes les identités (utilisateurs, groupes et rôles) auxquelles la politique est attachée. Les services sont plus susceptibles de mettre à jour une politique AWS gérée lorsqu'une nouvelle fonctionnalité est lancée ou lorsque de nouvelles opérations sont disponibles. Les services ne suppriment pas les autorisations d'une politique AWS gérée. Les mises à jour des politiques n'endommageront donc pas vos autorisations existantes.
En outre, AWS prend en charge les politiques gérées pour les fonctions professionnelles qui couvrent plusieurs services. Par exemple, la politique `ReadOnlyAccess` AWS gérée fournit un accès en lecture seule à tous les AWS services et ressources. Quand un service lance une nouvelle fonctionnalité, AWS ajoute des autorisations en lecture seule pour les nouvelles opérations et ressources. Pour obtenir la liste des politiques de fonctions professionnelles et leurs descriptions, consultez la page [politiques gérées par AWS pour les fonctions de tâche](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dans le *Guide de l’utilisateur IAM*.
## AWS politique gérée : AmazonWorkSpacesAdmin
**Note**
Les autorisations répertoriées concernent uniquement le SDK et ne fonctionneront pas pour la console. La console nécessite des autorisations supplémentaires répertoriées dans la [référence des autorisations relatives aux opérations de WorkSpaces la console Amazon](wsp-console-permissions-ref.md).
Cette politique donne accès aux actions WorkSpaces administratives d'Amazon. Elle fournit les autorisations suivantes :
+ `workspaces`- Permet d'accéder aux ressources WorkSpaces personnelles et aux ressources des WorkSpaces pools pour effectuer des actions administratives.
+ `kms` : permet d'accéder à la liste et à la description des clés KMS, ainsi qu'à la liste des alias.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonWorkSpacesAdmin",
"Effect": "Allow",
"Action": [
"kms:DescribeKey",
"kms:ListAliases",
"kms:ListKeys",
"workspaces:CreateTags",
"workspaces:CreateWorkspaceImage",
"workspaces:CreateWorkspaces",
"workspaces:CreateWorkspacesPool",
"workspaces:CreateStandbyWorkspaces",
"workspaces:DeleteTags",
"workspaces:DeregisterWorkspaceDirectory",
"workspaces:DescribeTags",
"workspaces:DescribeWorkspaceBundles",
"workspaces:DescribeWorkspaceDirectories",
"workspaces:DescribeWorkspaces",
"workspaces:DescribeWorkspacesPools",
"workspaces:DescribeWorkspacesPoolSessions",
"workspaces:DescribeWorkspacesConnectionStatus",
"workspaces:ModifyCertificateBasedAuthProperties",
"workspaces:ModifySamlProperties",
"workspaces:ModifyStreamingProperties",
"workspaces:ModifyWorkspaceCreationProperties",
"workspaces:ModifyWorkspaceProperties",
"workspaces:RebootWorkspaces",
"workspaces:RebuildWorkspaces",
"workspaces:RegisterWorkspaceDirectory",
"workspaces:RestoreWorkspace",
"workspaces:StartWorkspaces",
"workspaces:StartWorkspacesPool",
"workspaces:StopWorkspaces",
"workspaces:StopWorkspacesPool",
"workspaces:TerminateWorkspaces",
"workspaces:TerminateWorkspacesPool",
"workspaces:TerminateWorkspacesPoolSession",
"workspaces:UpdateWorkspacesPool"
],
"Resource": "*"
}
]
}
```
------
## AWS politique gérée : AmazonWorkspaces PCAAccess
Cette politique gérée permet d'accéder aux AWS ressources de l'autorité de certification privée (Private CA) de votre AWS compte pour une authentification basée sur des certificats. Il est inclus dans le AmazonWorkSpaces PCAAccess rôle et fournit les autorisations suivantes :
+ `acm-pca`- Permet d'accéder à AWS une autorité de certification privée pour gérer l'authentification basée sur des certificats.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"acm-pca:IssueCertificate",
"acm-pca:GetCertificate",
"acm-pca:DescribeCertificateAuthority"
],
"Resource": "arn:*:acm-pca:*:*:*",
"Condition": {
"StringLike": {
"aws:ResourceTag/euc-private-ca": "*"
}
}
}
]
}
```
------
## AWS politique gérée : AmazonWorkSpacesSelfServiceAccess
Cette politique donne accès au WorkSpaces service Amazon pour effectuer des actions en WorkSpaces libre-service initiées par un utilisateur. Elle est incluse dans le rôle `workspaces_DefaultRole` et fournit les autorisations suivantes :
+ `workspaces`- Permet aux utilisateurs d'accéder aux fonctionnalités WorkSpaces de gestion en libre-service.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"workspaces:RebootWorkspaces",
"workspaces:RebuildWorkspaces",
"workspaces:ModifyWorkspaceProperties"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## AWS politique gérée : AmazonWorkSpacesServiceAccess
Cette politique permet au compte client d'accéder au WorkSpaces service Amazon pour le lancement d'un WorkSpace. Elle est incluse dans le rôle `workspaces_DefaultRole` et fournit les autorisations suivantes :
+ `ec2`- Permet d'accéder à la gestion des ressources Amazon EC2 associées à un WorkSpace, telles que les interfaces réseau.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface",
"ec2:DescribeNetworkInterfaces"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## AWS politique gérée : AmazonWorkSpacesPoolServiceAccess
Cette politique est utilisée dans le workspaces\$1DefaultRole, qui WorkSpaces permet d'accéder aux ressources requises dans le AWS compte client de Pools. WorkSpaces Pour de plus amples informations, veuillez consulter [Création du rôle workspaces\$1 DefaultRole](workspaces-access-control.md#create-default-role). Elle fournit les autorisations suivantes :
+ `ec2`- Permet de gérer les ressources Amazon EC2 associées à un WorkSpaces pool, telles que VPCs les sous-réseaux, les zones de disponibilité, les groupes de sécurité et les tables de routage.
+ `s3`- Permet d'accéder aux compartiments Amazon S3 pour effectuer des actions requises pour les journaux, les paramètres de l'application et la fonctionnalité Home Folder.
------
#### [ Commercial Régions AWS ]
La politique JSON suivante s'applique à la publicité Régions AWS.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ProvisioningWorkSpacesPoolPermissions",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSecurityGroups",
"ec2:DescribeRouteTables",
"s3:ListAllMyBuckets"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "WorkSpacesPoolS3Permissions",
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:ListBucket",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetObjectVersion",
"s3:DeleteObjectVersion",
"s3:GetBucketPolicy",
"s3:PutBucketPolicy",
"s3:PutEncryptionConfiguration"
],
"Resource": [
"arn:aws:s3:::wspool-logs-*",
"arn:aws:s3:::wspool-app-settings-*",
"arn:aws:s3:::wspool-home-folder-*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
------
#### [ AWS GovCloud (US) Regions ]
La politique JSON suivante s'applique à la publicité AWS GovCloud (US) Regions.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ProvisioningWorkSpacesPoolPermissions",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSecurityGroups",
"ec2:DescribeRouteTables",
"s3:ListAllMyBuckets"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "WorkSpacesPoolS3Permissions",
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:ListBucket",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetObjectVersion",
"s3:DeleteObjectVersion",
"s3:GetBucketPolicy",
"s3:PutBucketPolicy",
"s3:PutEncryptionConfiguration"
],
"Resource": [
"arn:aws-us-gov:s3:::wspool-logs-*",
"arn:aws-us-gov:s3:::wspool-app-settings-*",
"arn:aws-us-gov:s3:::wspool-home-folder-*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
------
## WorkSpaces mises à jour des politiques AWS gérées
Consultez les détails des mises à jour des politiques AWS gérées WorkSpaces depuis que ce service a commencé à suivre ces modifications.
| Modifier | Description | Date |
| --- | --- | --- |
| [AWS politique gérée : AmazonWorkSpacesPoolServiceAccess](#workspaces-pools-service-access) - Ajout d'une nouvelle politique | WorkSpaces a ajouté une nouvelle politique gérée pour autoriser l'accès à Amazon EC2 VPCs et aux ressources associées, ainsi que pour afficher et gérer les compartiments Amazon S3 pour les pools. WorkSpaces | 24 juin 2024 |
| [AWS politique gérée : AmazonWorkSpacesAdmin](#workspaces-admin) – Mise à jour de politique | WorkSpaces a ajouté plusieurs actions pour les WorkSpaces pools à la politique WorkSpacesAdmin gérée par Amazon, accordant aux administrateurs l'accès à la gestion des ressources du WorkSpace pool. | 24 juin 2024 |
| [AWS politique gérée : AmazonWorkSpacesAdmin](#workspaces-admin) – Mise à jour de politique | WorkSpaces a ajouté l'workspaces:RestoreWorkspaceaction à la politique WorkSpacesAdmin gérée par Amazon, en accordant aux administrateurs l'accès à la restauration. WorkSpaces | 25 juin 2023 |
| [AWS politique gérée : AmazonWorkspaces PCAAccess](#workspaces-pca-access) - Ajout d'une nouvelle politique | WorkSpaces a ajouté une nouvelle politique gérée pour accorder l'acm-pcaautorisation de gérer une autorité de certification AWS privée afin de gérer l'authentification basée sur des certificats. | 18 novembre 2022 |
| WorkSpaces a commencé à suivre les modifications | WorkSpaces a commencé à suivre les modifications apportées WorkSpaces à ses politiques gérées. | 1er mars 2021 |
# Accès aux instances de streaming WorkSpaces et scripts y afférents
Les applications et les scripts qui s'exécutent sur des instances de WorkSpaces streaming doivent inclure des AWS informations d'identification dans leurs demandes AWS d'API. Vous pouvez créer un rôle IAM pour gérer ces informations d’identification. Un rôle IAM spécifie un ensemble d'autorisations que vous pouvez utiliser pour accéder aux AWS ressources. Toutefois, ce rôle n'est pas associé de façon unique à une seule personne. Au lieu de cela, il peut être assumé par toute personne en ayant besoin.
Vous pouvez appliquer un rôle IAM à une instance de WorkSpaces streaming. Lorsque l'instance de streaming bascule vers (assume) le rôle, le rôle fournit des informations d'identification de sécurité temporaires. Votre application ou vos scripts utilisent ces informations d'identification pour effectuer des actions d'API et des tâches de gestion sur l'instance de streaming. WorkSpaces gère pour vous le changement d'identifiant temporaire.
**Topics**
+ [Bonnes pratiques d'utilisation des rôles IAM avec des instances de WorkSpaces streaming](#best-practices-for-using-iam-role-with-streaming-instances)
+ [Configuration d'un rôle IAM existant à utiliser avec des instances de WorkSpaces streaming](#configuring-existing-iam-role-to-use-with-streaming-instances)
+ [Comment créer un rôle IAM à utiliser avec les instances de WorkSpaces streaming](#how-to-create-iam-role-to-use-with-streaming-instances)
+ [Comment utiliser le rôle IAM avec les instances de WorkSpaces streaming](#how-to-use-iam-role-with-streaming-instances)
## Bonnes pratiques d'utilisation des rôles IAM avec des instances de WorkSpaces streaming
Lorsque vous utilisez des rôles IAM avec des instances de WorkSpaces streaming, nous vous recommandons de suivre les pratiques suivantes :
+ Limitez les autorisations que vous accordez aux actions et aux ressources de l'AWSAPI.
Respectez le principe du moindre privilège lorsque vous créez et associez des politiques IAM aux rôles IAM associés aux instances de WorkSpaces streaming. Lorsque vous utilisez une application ou un script qui nécessite l'accès aux actions ou aux ressources de l'AWSAPI, déterminez les actions et les ressources spécifiques requises. Ensuite, créez des politiques qui autorisent l’application ou le script à effectuer uniquement ces actions. Pour plus d’informations, consultez [Octroi du moindre privilège](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) dans le *Guide de l’utilisateur IAM*.
+ Créez un rôle IAM pour chaque WorkSpaces ressource.
La création d'un rôle IAM unique pour chaque WorkSpaces ressource est une pratique qui respecte le principe du moindre privilège. Cela vous permet également de modifier les autorisations pour une ressource sans affecter les autres ressources.
+ Limitez les endroits où les informations d’identification peuvent être utilisées.
Les politiques IAM vous permettent de définir les conditions dans lesquelles votre rôle IAM peut être utilisé pour accéder à une ressource. Par exemple, vous pouvez inclure des conditions pour spécifier une plage d'adresses IP d'où peuvent parvenir les requêtes. Cela permet d’éviter que les informations d’identification soient utilisées en dehors de votre environnement. Pour plus d’informations, consultez [Utiliser les conditions des stratégies pour une plus grande sécurité](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#use-policy-conditions) dans le *Guide de l’utilisateur IAM*.
## Configuration d'un rôle IAM existant à utiliser avec des instances de WorkSpaces streaming
Cette rubrique décrit comment configurer un rôle IAM existant afin de pouvoir l'utiliser avec WorkSpaces .
**Conditions préalables**
Le rôle IAM que vous souhaitez utiliser WorkSpaces doit répondre aux conditions préalables suivantes :
+ Le rôle IAM doit figurer sur le même compte Amazon Web Services que l'instance de WorkSpaces streaming.
+ Le rôle IAM ne peut pas être une fonction du service.
+ La politique de relation de confiance attachée au rôle IAM doit inclure le WorkSpaces service en tant que principal. Un *mandant* est une entité AWS qui peut effectuer des actions et accéder à des ressources. La stratégie doit également inclure l'action `sts:AssumeRole`. Cette configuration de politique est définie WorkSpaces comme une entité de confiance.
+ Si vous appliquez le rôle IAM à WorkSpaces, vous WorkSpaces devez exécuter une version de l' WorkSpaces agent publiée le 3 septembre 2019 ou après cette date. Si vous appliquez le rôle IAM à WorkSpaces, vous WorkSpaces devez utiliser une image utilisant une version de l'agent publiée à la même date ou après cette date.
**Pour permettre au directeur du WorkSpaces service d'assumer un rôle IAM existant**
Pour effectuer les étapes suivantes, vous devez vous connecter au compte en tant qu’utilisateur IAM disposant des autorisations requises pour répertorier et mettre à jour les rôles IAM. Si vous n’avez pas les autorisations requises, demandez à votre administrateur de compte Amazon Web Services d’effectuer ces étapes dans votre compte ou de vous accorder les autorisations requises.
1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Dans le panneau de navigation, choisissez **Rôles**.
1. Dans la liste des rôles de votre compte, choisissez le nom du rôle que vous souhaitez modifier.
1. Sélectionnez l'onglet **Relations d'approbation**, puis **Modifier la relation d'approbation**.
1. Sous **Document de stratégie**, vérifiez que la stratégie de relation d’approbation inclut l’action `sts:AssumeRole` pour le principal du service `workspaces.amazonaws.com` :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"workspaces.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Après avoir modifié votre politique d'approbation, choisissez **Mettre à jour la politique de confiance** pour enregistrer vos modifications.
1. Le rôle IAM que vous avez sélectionné s'affichera dans la WorkSpaces console. Ce rôle accorde des autorisations aux applications et aux scripts pour effectuer des actions d'API et des tâches de gestion sur les instances de streaming.
## Comment créer un rôle IAM à utiliser avec les instances de WorkSpaces streaming
Cette rubrique explique comment créer un nouveau rôle IAM afin de pouvoir l'utiliser avec WorkSpaces
1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Dans le volet de navigation, sélectionnez **Rôles**, puis **Créer un rôle**.
1. Pour **Select type of trusted entity (Sélectionner le type d’entité de confiance)**, choisissez **Service AWS**.
1. Dans la liste des AWS services, sélectionnez **WorkSpaces**.
1. Sous **Sélectionnez votre cas d'utilisation**, WorkSpaces l'option « ** WorkSpaces Autoriser les instances à appeler AWS des services en votre nom** » est déjà sélectionnée. Choisissez **Suivant : Autorisations**.
1. Si possible, sélectionnez la politique à utiliser pour la politique d'autorisations ou choisissez **Create policy** (Créer une politique) pour ouvrir un nouvel onglet de navigateur et créer une nouvelle politique de bout en bout. Pour plus d’informations, consultez l’étape 4 de la procédure [Création de politiques IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start) dans le *Guide de l’utilisateur IAM*.
Une fois la politique créée, fermez cet onglet et revenez à l'onglet initial. Cochez la case à côté des politiques d'autorisation que vous WorkSpaces souhaitez avoir.
1. (Facultatif) Définissez une limite d'autorisations. Il s’agit d’une fonctionnalité avancée disponible pour les fonctions de service, mais pas pour les rôles liés à un service. Pour plus d’informations, consultez [Limites d’autorisations pour les entités IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dans le *Guide de l’utilisateur IAM*.
1. Choisissez **Suivant : Balises**. Vous pouvez éventuellement joindre des balises en tant que paires clé-valeur. Pour plus d’informations, consultez [Balisage des utilisateurs et des rôles IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) dans le *Guide de l’utilisateur IAM*.
1. Choisissez **Suivant : Vérification**.
1. Pour **Nom du rôle**, saisissez un nom de rôle unique dans votre compte Amazon Web Services. Comme d'autres AWS ressources peuvent faire référence au rôle, vous ne pouvez pas modifier le nom du rôle une fois celui-ci créé.
1. Pour **Description du rôle**, conservez la description du rôle par défaut ou saisissez une nouvelle description.
1. Passez en revue les informations du rôle, puis choisissez **Create role** (Créer un rôle).
## Comment utiliser le rôle IAM avec les instances de WorkSpaces streaming
Après avoir créé un rôle IAM, vous pouvez l'appliquer WorkSpaces lors du lancement WorkSpaces. Vous pouvez également appliquer un rôle IAM à un rôle existant WorkSpaces.
Lorsque vous appliquez un rôle IAM à WorkSpaces, WorkSpaces récupère les informations d'identification temporaires et créez le profil d'identification **workspaces\$1machine\$1role** sur l'instance. Les informations d’identification temporaires sont valides pendant 1 heure et de nouvelles informations d’identification sont récupérées toutes les heures. Les informations d'identification précédentes n'expirent pas. Vous pouvez donc les utiliser aussi longtemps qu'elles sont valides. Vous pouvez utiliser le profil d'identification pour appeler AWS des services par programmation à l'aide de l'interface de ligne de AWS commande (AWSCLI) PowerShell, AWS des outils ou du AWS SDK dans la langue de votre choix.
Lorsque vous effectuez les appels d'API, spécifiez **workspaces\$1machine\$1role comme profil** d'identification. Sinon, l'opération échoue en raison d'autorisations insuffisantes.
WorkSpaces assume le rôle spécifié pendant le provisionnement de l'instance de streaming. Dans la WorkSpaces mesure où il utilise l'interface réseau élastique attachée à votre VPC pour les appels d'AWSAPI, votre application ou votre script doit attendre que l'Elastic network interface soit disponible avant de passer des appels d'AWSAPI. Si des appels d'API sont effectués avant que l'interface réseau Elastic soit disponible, les appels échouent.
Les exemples suivants montrent comment utiliser le profil d'identification **workspaces\$1machine\$1role** pour décrire les instances de streaming (EC2 instances) et pour créer le client Boto. Boto est le kit SDK Amazon Web Services (AWS) pour Python.
**Décrire les instances de streaming (EC2 instances) à l'aide de la AWS CLI**
```
aws ec2 describe-instances --region us-east-1 --profile workspaces_machine_role
```
**Décrire les instances de streaming (EC2 instances) à l'aide d'AWSoutils pour PowerShell**
Vous devez utiliser AWS Tools pour PowerShell la version 3.3.563.1 ou ultérieure, avec le SDK Amazon Web Services pour .NET version 3.3.103.22 ou ultérieure. Vous pouvez télécharger le programme d'installation de AWS Tools for Windows, qui inclut AWS Tools for PowerShell et le SDK Amazon Web Services pour .NET, depuis [AWSle site Web Tools PowerShell](https://aws.amazon.com/powershell/) for.
```
Get-EC2Instance -Region us-east-1 -ProfileName workspaces_machine_role
```
**Création du client Boto à l'aide du AWS SDK pour Python**
```
session = boto3.Session(profile_name=workspaces_machine_role')
```
# Référence des autorisations relatives aux opérations sur Amazon WorkSpaces Console
Certains Amazon ne WorkSpaces APIs peuvent être appelés que via la console AWS de gestion. Ils ne sont pas publics APIs, dans le sens où ils ne peuvent pas être appelés par programmation, et ils ne sont fournis par aucun SDK. Ces opérations d'API incluent :
+ espaces de travail : DirectoryAccessManagement
+ espaces de travail : CreateRootClientCertificate
+ espaces de travail : UpdateRootClientCertificate
+ espaces de travail : DeleteRootClientCertificate
+ espaces de travail : DescribeConsent
+ espaces de travail : UpdateConsent
## WorkSpaces Opérations de console et autorisations requises pour les actions
La console utilise des actions d'API supplémentaires pour ses fonctionnalités, de sorte que les autorisations accordées au WorkSpaces public APIs peuvent ne pas être suffisantes. Par exemple, un utilisateur autorisé à utiliser l'[CreateWorkspaces](https://docs.aws.amazon.com/workspaces/latest/api/API_CreateWorkspaces.html)API CLI/SDK peut rencontrer des erreurs lorsqu'il essaie d'en créer une WorkSpace sur la console, car il ne dispose pas de certaines autorisations pour sélectionner ou créer des utilisateurs. Ce tableau répertorie les fonctionnalités uniquement disponibles sur la WorkSpaces console et les autorisations supplémentaires requises pour permettre aux utilisateurs de travailler avec ces parties spécifiques de la console.
La section [Exemples de politiques](https://docs.aws.amazon.com/workspaces/latest/adminguide/workspaces-access-control.html#workspaces-example-iam-policies) fournit la liste des autorisations permettant d'effectuer toutes les WorkSpaces tâches pour Personal, Pools et BYOL WorkSpaces.
Vous pouvez également utiliser des autorisations granulaires pour appliquer des autorisations de moindre privilège afin d'effectuer une tâche.
Ce tableau répertorie les fonctionnalités de la WorkSpaces console qui s'appuient sur APIs celles qui ne sont pas fournies par le SDK et les autorisations requises pour permettre aux utilisateurs de travailler avec ces parties spécifiques de la console. Ces autorisations doivent être ajoutées en plus des autres actions APIs requises par le SDK.
| WorkSpaces Opérations sur console | Autorisations requises |
| --- | --- |
| [WorkSpaces Configuration rapide personnalisée](https://docs.aws.amazon.com/workspaces/latest/adminguide/managing-wsp-personal.html#getting-started) | espaces de travail : DirectoryAccessManagement Annonces : \$1 EC2 : CreateVpc EC2 : CreateSubnet EC2 : CreateNetworkInterface EC2 : CreateInternetGateway EC2 : CreateRouteTable EC2 : CreateRoute EC2 : CreateTags EC2 : CreateSecurityGroup EC2 : DescribeInternetGateways EC2 : DescribeSecurityGroups EC2 : DescribeRouteTables EC2 : DescribeVpcs EC2 : DescribeSubnets EC2 : DescribeNetworkInterfaces EC2 : DescribeAvailabilityZones EC2 : AttachInternetGateway EC2 : AssociateRouteTable EC2 : AuthorizeSecurityGroupIngress EC2 : AuthorizeSecurityGroupEgress iam : CreateRole iam : GetRole iam : PutRolePolicy espaces de travail : DescribeAccount espaces de travail : DescribeWorkspaceDirectories espaces de travail : CreateWorkspaces espaces de travail : DescribeWorkspaces espaces de travail : RegisterWorkspaceDirectory espaces de travail : DescribeWorkspaceBundles espaces de travail : DescribeWorkspaces |
| [Restreindre l'accès aux appareils sécurisés pour les WorkSpaces particuliers](https://docs.aws.amazon.com/workspaces/latest/adminguide/trusted-devices.html#configure-restriction) | espaces de travail : CreateRootClientCertificate espaces de travail : UpdateRootClientCertificate espaces de travail : DeleteRootClientCertificate annonces : DescribeDirectories EC2 : DescribeSubnets EC2 : DescribeSecurityGroups espaces de travail : DescribeAccount espaces de travail : DescribeWorkspaceDirectories espaces de travail : DescribeTags espaces de travail : DescribeClientProperties espaces de travail : DescribeConnectClientAddins espaces de travail : DirectoryAccessManagement |
| [Création d'un annuaire WorkSpace dans WorkSpaces Personal on the Console](https://docs.aws.amazon.com/workspaces/latest/adminguide/create-workspaces-personal.html) — To create/search/describe Directory Service | espaces de travail : DirectoryAccessManagement espaces de travail : DescribeAccount espaces de travail : CreateWorkspaces espaces de travail : DescribeWorkspaces espaces de travail : DescribeWorkspaceDirectories espaces de travail : DescribeWorkspaceBundles espaces de travail : DescribeTags espaces de travail : CreateTags espaces de travail : DescribeClientProperties km : ListKeys km : ListAliases km : DescribeKey annonces : DescribeTrusts annonces : DescribeDirectories EC2 : DescribeSubnets EC2 : DescribeSecurityGroups |
| [Gérer les utilisateurs dans WorkSpaces Personal](https://docs.aws.amazon.com/workspaces/latest/adminguide/manage-workspaces-users.html) : pour modifier les utilisateurs et leur envoyer un e-mail d'invitation | espaces de travail : DirectoryAccessManagement espaces de travail : DescribeAccount espaces de travail : DescribeWorkspaceDirectories espaces de travail : DescribeWorkspaces espaces de travail : DescribeTags espaces de travail : DescribeWorkspaceBundles espaces de travail : DescribeWorkspacesConnectionStatus espaces de travail : DescribeWorkspaceAssociations espaces de travail : DescribeWorkspaceSnapshots espaces de travail : DescribeWorkspaceImages espaces de travail : DescribeConnectionAliases |
| [Mettre à jour le compte AD Connector (AD Connector) pour WorkSpaces Personal](https://docs.aws.amazon.com/workspaces/latest/adminguide/connect-account.html) | espaces de travail : DirectoryAccessManagement annonces : DescribeDirectories annonces : UpdateDirectory EC2 : DescribeSubnets EC2 : DescribeSecurityGroups espaces de travail : DescribeAccount espaces de travail : DescribeWorkspaceDirectories espaces de travail : DescribeTags espaces de travail : DescribeClientProperties espaces de travail : DescribeConnectClientAddins |
| [Sélectionnez une unité organisationnelle pour WorkSpaces Personnel](https://docs.aws.amazon.com/workspaces/latest/adminguide/select-ou.html) | espaces de travail : DirectoryAccessManagement annonces : DescribeDirectories EC2 : DescribeSubnets EC2 : DescribeSecurityGroups espaces de travail : DescribeAccount espaces de travail : DescribeWorkspaceDirectories espaces de travail : DescribeTags espaces de travail : DescribeClientProperties espaces de travail : DescribeConnectClientAddins espaces de travail : ModifyWorkspaceCreationProperties |
| [Activez votre compte pour BYOL](https://docs.aws.amazon.com/workspaces/latest/adminguide/byol-windows-images.html) — Pour confirmer que vous comprenez les conditions requises pour utiliser BYOL WorkSpaces | espaces de travail : DescribeConsent espaces de travail : UpdateConsent espaces de travail : DescribeAccount espaces de travail : ListAccountLinks espaces de travail : DescribeWorkspaceBundles espaces de travail : DescribeWorkspaceImages espaces de travail : DescribeWorkspaceDirectories |
# Validation de conformité pour Amazon WorkSpaces
Des auditeurs tiers évaluent la sécurité et la conformité d'Amazon dans WorkSpaces le cadre de plusieurs programmes de AWS conformité. Il s’agit notamment des certifications SOC, PCI, FedRAMP, HIPAA et d’autres.
Pour une liste des AWS services concernés par des programmes de conformité spécifiques, voir [AWS Services concernés par programme de conformitéAWS](https://aws.amazon.com/compliance/services-in-scope/) . Pour obtenir des renseignements généraux, consultez [Programmes de conformitéAWS](https://aws.amazon.com/compliance/programs/) .
Vous pouvez télécharger des rapports d'audit tiers à l'aide de AWS Artifact. Pour plus d'informations, voir [Téléchargement de rapports dans AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Pour plus d'informations sur FedRAMP WorkSpaces et FedRAMP, consultez. [Configurer l'autorisation FedRAMP ou la conformité au DoD SRG pour Personal WorkSpaces](fips-encryption.md)
Votre responsabilité en matière de conformité lors de l'utilisation WorkSpaces est déterminée par la sensibilité de vos données, les objectifs de conformité de votre entreprise et les lois et réglementations applicables. AWS fournit les ressources suivantes pour faciliter la mise en conformité :
+ [Guides démarrage rapide de la sécurité et de la conformité](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance). Ces guides de déploiement traitent des considérations architecturales et fournissent des étapes pour déployer des environnements de base axés sur la sécurité et la conformité sur AWS.
+ [Architecture axée sur la sécurité et la conformité HIPAA sur Amazon Web Services](https://docs.aws.amazon.com/pdfs/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/architecting-hipaa-security-and-compliance-on-aws.pdf) : ce livre blanc décrit comment les entreprises peuvent créer des applications AWS conformes à la loi HIPAA.
+ AWS Ressources de [https://aws.amazon.com/compliance/resources/](https://aws.amazon.com/compliance/resources/) de conformité — Cette collection de classeurs et de guides peut s'appliquer à votre secteur d'activité et à votre région.
+ [Évaluation des ressources à l'aide des règles](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) énoncées dans le *guide du AWS Config développeur* : AWS Configévalue dans quelle mesure les configurations de vos ressources sont conformes aux pratiques internes, aux directives du secteur et aux réglementations.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— Ce AWS service fournit une vue complète de l'état de votre sécurité interne, AWS ce qui vous permet de vérifier votre conformité aux normes et aux meilleures pratiques du secteur de la sécurité.
# Résilience chez Amazon WorkSpaces
L'infrastructure AWS mondiale est construite autour des AWS régions et des zones de disponibilité. Les régions fournissent plusieurs zones de disponibilité physiquement séparées et isolées, reliées par un réseau à latence faible, à débit élevé et à forte redondance. Avec les zones de disponibilité, vous pouvez concevoir et exploiter des applications et des bases de données qui basculent automatiquement d’une zone à l’autre sans interruption. Les zones de disponibilité sont davantage disponibles, tolérantes aux pannes et ont une plus grande capacité de mise à l’échelle que les infrastructures traditionnelles à un ou plusieurs centres de données.
Pour plus d'informations sur AWS les régions et les zones de disponibilité, consultez la section [Infrastructure AWS mondiale](https://aws.amazon.com/about-aws/global-infrastructure/).
Amazon propose WorkSpaces également la redirection entre régions, une fonctionnalité qui fonctionne avec les politiques de routage par basculement de votre système de noms de domaine (DNS) pour rediriger vos WorkSpaces utilisateurs vers une alternative WorkSpaces dans une autre AWS région lorsque leur principal n'est WorkSpaces pas disponible. Pour de plus amples informations, veuillez consulter [Redirection entre régions pour Personal WorkSpaces](cross-region-redirection.md).
# Sécurité de l'infrastructure sur Amazon WorkSpaces
En tant que service géré, Amazon WorkSpaces est protégé par la sécurité du réseau AWS mondial. Pour plus d'informations sur les services AWS de sécurité et sur la manière dont AWS l'infrastructure est protégée, consultez la section [Sécurité du AWS cloud](https://aws.amazon.com/security/). Pour concevoir votre AWS environnement en utilisant les meilleures pratiques en matière de sécurité de l'infrastructure, consultez la section [Protection de l'infrastructure](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) dans le cadre * AWS bien architecturé du pilier de sécurité*.
Vous utilisez des appels d'API AWS publiés pour accéder WorkSpaces via le réseau. Les clients doivent prendre en charge les éléments suivants :
+ Protocole TLS (Transport Layer Security). Nous exigeons TLS 1.2 et recommandons TLS 1.3.
+ Ses suites de chiffrement PFS (Perfect Forward Secrecy) comme DHE (Ephemeral Diffie-Hellman) ou ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La plupart des systèmes modernes tels que Java 7 et les versions ultérieures prennent en charge ces modes.
**Topics**
+ [Isolement de réseau](network-isolation.md)
+ [Isolation sur les hôtes physiques](physical-isolation.md)
+ [Credential Guard/Sécurité basée sur la virtualisation (VBS)](credential-guard-vbs.md)
+ [Autorisation des utilisateurs professionnels](authorization.md)
+ [Création et diffusion à partir de points de terminaison VPC d'interface](creating-streaming-vpc-endpoints.md)
+ [Effectuer des demandes d' WorkSpaces API Amazon via un point de terminaison d'interface VPC](interface-vpc-endpoint.md)
+ [Création d'une politique de point de terminaison VPC pour Amazon WorkSpaces](api-private-link-policy.md)
+ [Connexion de votre réseau privé à votre VPC](notebook-private-link-vpn.md)
# Isolement de réseau
Un cloud privé virtuel (VPC) est un réseau virtuel situé dans votre propre zone logiquement isolée dans le cloud. AWS Vous pouvez le déployer WorkSpaces dans un sous-réseau privé de votre VPC. Pour de plus amples informations, veuillez consulter [Configuration d'un VPC pour le personnel WorkSpaces](amazon-workspaces-vpc.md).
Pour autoriser le trafic uniquement à partir de plages d'adresses spécifiques (par exemple, à partir de votre réseau d'entreprise), mettez à jour le groupe de sécurité de votre VPC ou utilisez un [groupe de contrôle d'accès IP](amazon-workspaces-ip-access-control-groups.md).
Vous pouvez restreindre WorkSpace l'accès aux appareils fiables dotés de certificats valides. Pour de plus amples informations, veuillez consulter [Restreindre l'accès aux appareils fiables pour les WorkSpaces particuliers](trusted-devices.md).
# Isolation sur les hôtes physiques
Les différents hôtes WorkSpaces d'un même hôte physique sont isolés les uns des autres par l'intermédiaire de l'hyperviseur. C'est comme si elles se trouvaient sur des hôtes physiques distincts. Lorsque a WorkSpace est supprimé, la mémoire qui lui est allouée est nettoyée (mise à zéro) par l'hyperviseur avant d'être allouée à un nouveau. WorkSpace
# Credential Guard/Sécurité basée sur la virtualisation (VBS)
Windows WorkSpaces peut utiliser Credential Guard et la sécurité basée sur la virtualisation (VBS) pour fournir une isolation matérielle et protéger les informations d'identification au sein du système d'exploitation. Vous pouvez désactiver Credential Guard ou VBS via les paramètres de stratégie de groupe.
**Important**
La désactivation de VBS réduit le niveau de sécurité de votre Windows. WorkSpace Désactivez VBS uniquement si cela est nécessaire pour des besoins de performance ou de compatibilité spécifiques.
**Implications de sécurité liées à la désactivation de VBS**
+ **Protection réduite au niveau du noyau** — Le noyau du système d'exploitation devient plus vulnérable aux codes malveillants.
+ **Risque accru de vol d'informations d'identification** : les attaquants peuvent extraire plus facilement les informations d'identification du processus lsass.exe.
+ **Contrôles d'intégrité du code désactivés** — L'intégrité du code appliquée par l'hyperviseur (HVCI) ne fonctionnera pas, ce qui permettra aux pilotes non signés de s'exécuter en mode noyau.
+ **Vulnérabilité accrue aux exploits** — Le système devient plus vulnérable aux attaques susceptibles de compromettre l'intégralité du système.
+ **Perte de fonctionnalités de sécurité avancées** — Les fonctionnalités telles que Windows Defender Credential Guard et System Guard ne peuvent pas fonctionner comme prévu.
# Autorisation des utilisateurs professionnels
Avec WorkSpaces, les annuaires sont gérés via le Directory Service. Vous pouvez créer un annuaire autonome géré pour les utilisateurs. Vous pouvez également intégrer directement votre environnement Active Directory de manière à ce que vos utilisateurs puissent utiliser leurs informations d'identification existantes pour accéder en toute transparence aux ressources de l'entreprise. Pour de plus amples informations, veuillez consulter [Gérer les annuaires pour WorkSpaces Personal](manage-workspaces-directory.md).
Pour mieux contrôler l'accès à votre compte WorkSpaces, utilisez l'authentification multifactorielle. Pour plus d'informations, consultez [Comment activer l'authentification multifactorielle pour les AWS services](https://aws.amazon.com/blogs/security/how-to-enable-multi-factor-authentication-for-amazon-workspaces-and-amazon-quicksight-by-using-microsoft-ad-and-on-premises-credentials/).
# Création et diffusion à partir de points de terminaison VPC d'interface
Un cloud privé virtuel (VPC) est un réseau virtuel situé dans votre propre zone logiquement isolée du cloud Amazon Web Services. Si vous utilisez Amazon Virtual Private Cloud pour héberger vos AWS ressources, vous pouvez établir une connexion privée entre votre VPC et. WorkSpaces Vous pouvez utiliser cette connexion pour WorkSpaces communiquer avec vos ressources sur votre VPC sans passer par l'Internet public.
Les points de terminaison de l'interface sont alimentés par AWS PrivateLink une technologie qui vous permet de continuer à diffuser le trafic au sein d'un VPC que vous spécifiez à l'aide d'adresses IP privées. Lorsque vous utilisez le VPC avec un tunnel Direct AWS Connect ou AWS Virtual Private Network, vous pouvez conserver le trafic de streaming au sein de votre réseau.
Vous pouvez utiliser un point de terminaison VPC dans votre AWS compte pour restreindre tout le trafic de streaming entre votre Amazon VPC et WorkSpaces le réseau. AWS Après avoir créé le point de terminaison, configurez votre WorkSpaces répertoire pour l'utiliser.
## Conditions préalables et limitations
Avant de configurer des points de terminaison VPC pour WorkSpaces, tenez compte des conditions préalables et des limites suivantes.
+ La fonctionnalité prend actuellement en charge IPv4 le type d'IP d'enregistrement IPv6 DNS. Le type d'IP d'enregistrement DNS Dualstack n'est pas pris en charge.
+ Vous ne pouvez configurer que les points de terminaison VPC qui se trouvent dans le Compte AWS même répertoire. Les points de terminaison VPC situés dans d'autres régions ne Comptes AWS sont pas pris en charge, y compris les points de terminaison partagés. VPCs
+ La fonctionnalité ne prend actuellement en charge que le nom DNS privé pour les points de terminaison VPC. Le nom DNS privé d'un point de terminaison VPC ne peut pas être résolu publiquement.
+ La fonctionnalité n'est actuellement disponible que pour les utilisateurs WorkSpaces personnels. WorkSpaces Les pools ne prennent pas en charge les points de terminaison VPC pour le streaming.
+ La fonctionnalité de point de terminaison VPC est disponible exclusivement pour l'utilisation d' WorkSpaces Amazon DCV. Lorsque vous configurez un point de terminaison VPC pour un annuaire, les utilisateurs ne peuvent pas diffuser depuis Amazon DCV sur Internet. Cependant, vous pouvez activer le streaming Internet pour PCo IP WorkSpaces dans le même répertoire lors de la configuration du point de terminaison VPC.
+ Pour maintenir le trafic de streaming au sein de votre VPC, utilisez un point de terminaison VPC de streaming. Vos WorkSpaces clients ont besoin d'une connexion Internet pour s'authentifier. Activez l'accès sortant sur le port 443 (UDP et TCP) pour le trafic d'authentification. En outre, vous devez ajouter les domaines et adresses IP requis à votre liste d'autorisation en fonction de la méthode d'authentification que vous avez choisie. Pour obtenir la liste complète des domaines pour chaque catégorie, reportez-vous à la section [Domaines et adresses IP à ajouter à votre liste d'autorisations](https://docs.aws.amazon.com/workspaces/latest/adminguide/workspaces-port-requirements.html#whitelisted_ports).
+ CAPTCHA
+ Paramètres d'annuaire
+ Points de terminaison d'authentification par carte à puce de présession, si vous utilisez une carte à puce
+ Pages de connexion utilisateur
+ Agent WS
+ WorkSpaces Points de terminaison pour l'authentification unique (SSO) SAML
+ Le réseau sur lequel les appareils de vos utilisateurs sont connectés doit être en mesure d'acheminer le trafic vers le point de terminaison VPC.
+ Vous devez disposer d'une politique d'autorisation IAM pour l'utilisateur IAM ou le rôle IAM de votre AWS compte pour effectuer l'`ec2:DescribeVpcEndpoints`action d'API.
+ WorkSpaces les points de terminaison VPC de streaming ne prennent actuellement pas en charge le chiffrement FIPS. Si vous avez déjà activé le chiffrement FIPS pour un annuaire, vous devez désactiver le chiffrement FIPS avant de configurer un point de terminaison VPC.
+ AWSL'intégration de Global Accelerator (AGA) n'est pas disponible lors du streaming via un point de terminaison VPC.
+ Lorsqu'un point de terminaison VPC est configuré pour un annuaire, les groupes de contrôle d'accès IP spécifiés pour l'annuaire ne s'appliquent plus.
## Configuration du point de terminaison VPC pour le streaming WorkSpaces
Pour configurer un point de terminaison VPC pour le WorkSpaces streaming, procédez comme suit :
### Étape 1 : Créer le groupe de sécurité
Au cours de cette étape, vous créez un groupe de sécurité qui permet aux WorkSpaces clients de communiquer avec le point de terminaison VPC que vous allez créer.
1. Dans le volet de navigation de la EC2 console Amazon, accédez à **Réseau et sécurité**, puis à **Groupes de sécurité**.
1. Sélectionnez **Créer un groupe de sécurité**.
1. Dans **Détails de base**, entrez les informations suivantes :
+ Pour le **nom du groupe de sécurité** : entrez un nom unique identifiant le groupe de sécurité.
+ Pour **la description** — Entrez du texte décrivant l'objectif du groupe de sécurité.
+ Pour le **VPC : choisissez le VPC** dans lequel se trouve le point de terminaison de votre VPC.
1. Accédez à **Règles entrantes** et sélectionnez **Ajouter une règle** pour créer des règles entrantes pour le trafic TCP.
1. Saisissez :
+ Pour le **type** — Choisissez le protocole TCP personnalisé.
+ Pour la **plage de ports** : entrez les numéros de port suivants :`443`,`4195`.
+ Pour le **type de source**, choisissez Personnalisé.
+ Pour la **source** : entrez la plage d'adresses IP CIDR privées ou l'autre groupe IDs de sécurité à partir duquel vos utilisateurs se connectent au point de terminaison VPC. Assurez-vous d'autoriser le trafic entrant en provenance d'une source d' IPv6 adresse IPv4 ou.
1. Répétez les étapes 4 et 5 pour chaque plage d'adresses CIDR ou groupe de sécurité.
1. Accédez à **Règles entrantes**, sélectionnez **Ajouter une règle** pour créer des règles entrantes pour le trafic UDP.
1. Saisissez :
+ Pour le **type** — Choisissez **UDP personnalisé**.
+ Pour la **plage de ports** : entrez les numéros de port suivants : 443, 4195.
+ Pour le **type de source**, choisissez **Personnalisé**.
+ Pour la **source** : entrez la même plage d'adresses IP CIDR privée ou le même groupe de sécurité que celui IDs saisi à l'étape 5. Assurez-vous d'autoriser le trafic entrant en provenance d'une source d' IPv6 adresse IPv4 ou.
1. Répétez les étapes 7 et 8 pour chaque plage d'adresses CIDR ou groupe de sécurité.
1. Sélectionnez **Créer un groupe de sécurité**.
### Étape 2 : Créer le point de terminaison de VPC
Dans Amazon VPC, un point de terminaison VPC vous permet de connecter votre VPC aux services pris en charge. AWS Dans cet exemple, vous configurez Amazon VPC de manière à ce que vos WorkSpaces utilisateurs puissent streamer depuis. WorkSpaces
1. Ouvrez la [console VPC Amazon](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, accédez à **Endpoints**, puis à **Create Endpoint**.
1. Sélectionnez **Create Endpoint** (Créer un point de terminaison).
1. Vérifiez les points suivants :
+ **Catégorie de service** — Assurez-vous que les **AWSservices** sont sélectionnés.
+ **Nom du service** — Choisissez **com.amazonaws. *Region*.highlander**.
+ **VPC** — Choisissez un VPC dans lequel créer le point de terminaison de l'interface. Vous pouvez choisir un VPC différent du VPC doté de WorkSpaces ressources, à condition que le réseau achemine le trafic vers le point de terminaison du VPC.
+ **Activer le nom DNS privé** : la case est cochée. Si vos utilisateurs utilisent un proxy réseau pour accéder aux instances de streaming, désactivez toute mise en cache de proxy sur le domaine et les noms de DNS associés au point de terminaison privé. Le nom DNS du point de terminaison VPC doit être autorisé via le proxy. Pour une résolution de nom DNS réussie, il est essentiel d'utiliser les serveurs DNS privés au sein du VPC, car les serveurs DNS publics ne résoudront pas le nom DNS du point de terminaison du VPC.
+ **Type IP d'enregistrement DNS** — Choisissez IPv4 ou IPv6. Le type d'IP d'enregistrement DNS Dualstack n'est actuellement pas pris en charge. Si vous choisissez Dualstack, vous ne pourrez pas WorkSpaces diffuser depuis le point de terminaison VPC.
+ **Sous-réseaux** : choisissez les sous-réseaux (zones de disponibilité) pour créer le point de terminaison VPC. Il est recommandé de choisir au moins deux sous-réseaux.
+ **Type d'adresse IP** — Choisissez IPv4 IPv6 ou Dualstack en fonction de ce que les sous-réseaux que vous avez choisis prennent en charge.
+ **Panneau des groupes de sécurité** : sélectionnez le groupe de sécurité que vous avez créé précédemment.
1. (Facultatif) Dans le volet **Balises**, vous pouvez créer une ou plusieurs balises.
1. Sélectionnez **Créer un point de terminaison**.
Lorsque le point de terminaison est prêt à être utilisé, la valeur de la colonne **Status** (Statut) devient **Available** (Disponible).
### Étape 3 : configurer le WorkSpaces répertoire pour utiliser le point de terminaison VPC
Vous devez configurer le WorkSpaces répertoire pour utiliser le point de terminaison VPC que vous avez créé pour le streaming.
1. Ouvrez la [WorkSpaces console](https://console.aws.amazon.com/workspaces/v2/home) dans la même AWS région que le point de terminaison VPC.
1. Dans le volet **de navigation**, sélectionnez **Répertoires**, puis.
1. Sélectionnez le répertoire que vous souhaitez utiliser.
1. **Accédez à la section **Points de terminaison VPC**, puis sur Modifier.**
1. Dans la boîte de dialogue **Modifier le point de terminaison VPC**, sous Point de terminaison de **streaming, sélectionnez le point de terminaison** VPC que vous avez créé.
1. Vous pouvez éventuellement activer **Autoriser les utilisateurs disposant d'une PCo adresse IP WorkSpaces à diffuser depuis Internet**.
**Note**
Lorsque cette option est activée, vos utilisateurs peuvent diffuser depuis leur PCo adresse IP WorkSpaces via Internet public. Sinon, l' PCoadresse IP WorkSpaces du répertoire deviendra inaccessible car l'adresse PCo IP WorkSpaces ne prend pas en charge le point de terminaison VPC pour le streaming.
1. Cliquez sur **Enregistrer**.
Le trafic des nouvelles sessions de streaming sera acheminé via ce point de terminaison VPC. Toutefois, le trafic des sessions de streaming actuelles continue d'être acheminé via le point de terminaison spécifié précédemment.
**Note**
Les utilisateurs dotés d'un DCV WorkSpaces ne peuvent pas diffuser via Internet public lorsqu'un point de terminaison VPC est spécifié.
# Effectuer des demandes d' WorkSpaces API Amazon via un point de terminaison d'interface VPC
Vous pouvez vous connecter directement aux points de terminaison d' WorkSpaces API Amazon via un point de [terminaison d'interface](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html) dans votre cloud privé virtuel (VPC) au lieu de vous connecter via Internet. Lorsque vous utilisez un point de terminaison d'interface VPC, la communication entre votre VPC et le point de terminaison de l' WorkSpaces API Amazon s'effectue de manière entièrement et sécurisée au sein du réseau. AWS
**Note**
Cette fonctionnalité ne peut être utilisée que pour la connexion aux points de terminaison de WorkSpaces l'API. Pour se connecter à WorkSpaces l'utilisation WorkSpaces des clients, une connexion Internet est requise, comme décrit dans[Exigences relatives à l'adresse IP et au port pour WorkSpaces Personal](workspaces-port-requirements.md).
Les points de terminaison de WorkSpaces l'API [Amazon prennent en charge les points de terminaison de l'interface Amazon Virtual Private Cloud](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Introduction.html) (Amazon VPC) alimentés par. [AWS PrivateLink](https://aws.amazon.com/privatelink/) Chaque point de terminaison VPC est représenté par une ou plusieurs [interfaces réseau](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) (également appelées interfaces réseau élastiques, ou ENIs) avec des adresses IP privées dans vos sous-réseaux VPC.
Le point de terminaison de l'interface VPC connecte votre VPC directement au point de terminaison de WorkSpaces l'API Amazon sans passerelle Internet, appareil NAT, connexion VPN ou connexion. Direct Connect Les instances de votre VPC n'ont pas besoin d'adresses IP publiques pour communiquer avec le point de terminaison de WorkSpaces l'API Amazon.
Vous pouvez créer un point de terminaison d'interface pour vous connecter WorkSpaces à Amazon à l'aide des commandes AWS Management Console or AWS Command Line Interface (AWS CLI). Pour obtenir des instructions, consultez [Création d’un point de terminaison d’interface](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html#create-interface-endpoint).
*Après avoir créé un point de terminaison VPC*, vous pouvez utiliser les exemples de commandes CLI suivants qui utilisent le `endpoint-url` paramètre pour spécifier les points de terminaison d'interface pour le point de terminaison de l'API Amazon WorkSpaces :
```
aws workspaces copy-workspace-image --endpoint-url VPC_Endpoint_ID.workspaces.Region.vpce.amazonaws.com
aws workspaces delete-workspace-image --endpoint-url VPC_Endpoint_ID.api.workspaces.Region.vpce.amazonaws.com
aws workspaces describe-workspace-bundles --endpoint-url VPC_Endpoint_ID.workspaces.Region.vpce.amazonaws.com \
--endpoint-name Endpoint_Name \
--body "Endpoint_Body" \
--content-type "Content_Type" \
Output_File
```
Si vous activez des noms d'hôte DNS privés pour votre point de terminaison de VPC, il n'est pas nécessaire d'indiquer l'URL du point de terminaison. Le nom d'hôte DNS de l' WorkSpaces API Amazon que la CLI et le WorkSpaces SDK Amazon utilisent par défaut (https://api.workspaces. *Region*.amazonaws.com) correspond à votre point de terminaison VPC.
[Le point de terminaison de WorkSpaces l'API Amazon prend en charge les points de terminaison VPC dans toutes les AWS régions où Amazon [VPC et](https://docs.aws.amazon.com/general/latest/gr/rande.html#vpc_region) Amazon sont disponibles. WorkSpaces](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services) Amazon WorkSpaces permet de passer des appels à l'ensemble de son [public au APIs](https://docs.aws.amazon.com/workspaces/latest/api/welcome.html) sein de votre VPC.
Pour en savoir plus AWS PrivateLink, consultez la [AWS PrivateLink documentation](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Introduction.html#what-is-privatelink). Pour connaître le prix des points de terminaison VPC, veuillez consulter [Tarification VPC](https://aws.amazon.com/vpc/pricing/). Pour en savoir plus sur les VPC et les points de terminaison, consultez [Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html).
Pour consulter la liste des points de terminaison d' WorkSpaces API Amazon par région, consultez la section Points de [terminaison WorkSpaces d'API](workspaces-port-requirements.md#workspaces_api_endpoints).
# Création d'une politique de point de terminaison VPC pour Amazon WorkSpaces
Vous pouvez créer une politique pour les points de terminaison Amazon VPC pour qu'Amazon spécifie WorkSpaces les éléments suivants :
+ Le principal qui peut exécuter des actions.
+ Les actions qui peuvent être effectuées.
+ Les ressources sur lesquelles les actions peuvent être exécutées.
Pour plus d’informations, veuillez consulter [Contrôle de l’accès aux services avec des points de terminaison d’un VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) dans le *Amazon VPC Guide de l’utilisateur*.
**Note**
Les politiques relatives aux points de terminaison VPC ne sont pas prises en charge pour les points de terminaison Amazon Federal Information Processing Standard (FIPS). WorkSpaces
L'exemple de politique de point de terminaison VPC suivant indique que tous les utilisateurs ayant accès au point de terminaison de l'interface VPC sont autorisés à appeler le point de terminaison hébergé par Amazon WorkSpaces nommé. `ws-f9abcdefg`
```
{
"Statement": [
{
"Action": "workspaces:*",
"Effect": "Allow",
"Resource": "arn:aws:workspaces:us-west-2:1234567891011:workspace/ws-f9abcdefg",
"Principal": "*"
}
]
}
```
Dans cet exemple, les actions suivantes sont refusées :
+ Invoquer des points de terminaison WorkSpaces hébergés par Amazon autres que. `ws-f9abcdefg`
+ Exécution d'une action sur une ressource autre que celle spécifiée (WorkSpace ID :`ws-f9abcdefg`).
**Note**
Dans cet exemple, les utilisateurs peuvent toujours effectuer d'autres actions d' WorkSpaces API Amazon en dehors du VPC. Pour limiter les appels d'API à ceux provenant du VPC, consultez les informations relatives à l'utilisation de politiques basées sur l'identité [Gestion des identités et des accès pour WorkSpaces](workspaces-access-control.md) pour contrôler l'accès aux points de terminaison des API Amazon. WorkSpaces
# Connexion de votre réseau privé à votre VPC
Pour appeler l' WorkSpaces API Amazon via votre VPC, vous devez vous connecter depuis une instance située à l'intérieur du VPC ou connecter votre réseau privé à votre VPC en utilisant () ou. AWS Virtual Private Network Site-to-Site VPN Direct Connect Pour plus d'informations consultez [Connexions VPN](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html) dans le *Guide de l'utilisateur Amazon Virtual Private Cloud*. Pour plus d'informations AWS Direct Connect, voir [Création d'une connexion](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-connection.html) dans le *guide de Direct Connect l'utilisateur*.
# Gestion des mises à jour dans WorkSpaces
Nous vous recommandons de corriger, de mettre à jour et de sécuriser régulièrement le système d'exploitation et les applications de votre WorkSpaces. Vous pouvez les configurer WorkSpaces pour qu'ils soient mis à jour WorkSpaces pendant une période de maintenance régulière ou vous pouvez les mettre à jour vous-même. Pour de plus amples informations, veuillez consulter [Entretien WorkSpaces personnel](workspace-maintenance.md).
Pour les applications installées sur votre WorkSpaces ordinateur, vous pouvez utiliser tous les services de mise à jour automatique fournis ou suivre les recommandations d'installation des mises à jour fournies par le fournisseur de l'application.