View a markdown version of this page

AWS kebijakan terkelola untuk WorkSpaces - Amazon WorkSpaces
AmazonWorkSpacesAdminAmazonWorkspacesPCAAccessAmazonWorkSpacesSelfServiceAccessAmazonWorkSpacesServiceAccessAmazonWorkSpacesPoolServiceAccesWorkSpaces update ke AWS kebijakan terkelola

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS kebijakan terkelola untuk WorkSpaces

Menggunakan kebijakan AWS terkelola membuat menambahkan izin ke pengguna, grup, dan peran lebih mudah daripada menulis kebijakan sendiri. Dibutuhkan waktu dan keahlian untuk membuat kebijakan terkelola pelanggan IAM yang hanya memberi tim Anda izin yang mereka butuhkan. Gunakan kebijakan AWS terkelola untuk memulai dengan cepat. Kebijakan ini mencakup kasus penggunaan umum dan tersedia di AWS akun Anda. Untuk informasi selengkapnya tentang kebijakan AWS AWS terkelola, lihat kebijakan terkelola di Panduan Pengguna IAM.

AWS layanan memelihara dan memperbarui kebijakan AWS terkelola. Anda tidak dapat mengubah izin dalam kebijakan AWS terkelola. Layanan terkadang dapat menambahkan izin tambahan ke kebijakan AWS terkelola untuk mendukung fitur baru. Jenis pembaruan ini akan memengaruhi semua identitas (pengguna, grup, dan peran) di mana kebijakan tersebut dilampirkan. Layanan kemungkinan besar akan memperbarui kebijakan AWS terkelola saat fitur baru diluncurkan atau saat operasi baru tersedia. Layanan tidak menghapus izin dari kebijakan AWS terkelola, sehingga pembaruan kebijakan tidak akan merusak izin yang ada.

Selain itu, AWS mendukung kebijakan terkelola untuk fungsi pekerjaan yang mencakup beberapa layanan. Misalnya, kebijakan ReadOnlyAccess AWS terkelola menyediakan akses hanya-baca ke semua AWS layanan dan sumber daya. Saat layanan meluncurkan fitur baru, AWS menambahkan izin hanya-baca untuk operasi dan sumber daya baru. Untuk melihat daftar dan deskripsi dari kebijakan fungsi tugas, lihat kebijakan yang dikelola AWS untuk fungsi tugas di Panduan Pengguna IAM.

AWS kebijakan terkelola: AmazonWorkSpacesAdmin

catatan

Izin yang tercantum hanya untuk SDK dan tidak akan berfungsi untuk Konsol. Konsol memerlukan izin tambahan yang tercantum dalam referensi izin operasi WorkSpaces Konsol Amazon.

Kebijakan ini menyediakan akses ke tindakan WorkSpaces administratif Amazon. Ini memberikan izin berikut:

  • workspaces- Memungkinkan akses untuk melakukan tindakan administratif pada sumber daya WorkSpaces Pribadi dan WorkSpaces Kolam.

  • kms- Memungkinkan akses ke daftar dan menggambarkan kunci KMS, serta daftar alias.

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "AmazonWorkSpacesAdmin",
            "Effect": "Allow",
            "Action": [
                "kms:DescribeKey",
                "kms:ListAliases",
                "kms:ListKeys",
                "workspaces:CreateTags",
                "workspaces:CreateWorkspaceImage",
                "workspaces:CreateWorkspaces",
                "workspaces:CreateWorkspacesPool",
                "workspaces:CreateStandbyWorkspaces",
                "workspaces:DeleteTags",
                "workspaces:DeregisterWorkspaceDirectory",
                "workspaces:DescribeTags",
                "workspaces:DescribeWorkspaceBundles",
                "workspaces:DescribeWorkspaceDirectories",
                "workspaces:DescribeWorkspaces",
                "workspaces:DescribeWorkspacesPools",
                "workspaces:DescribeWorkspacesPoolSessions",
                "workspaces:DescribeWorkspacesConnectionStatus",
                "workspaces:ModifyCertificateBasedAuthProperties",
                "workspaces:ModifySamlProperties",
                "workspaces:ModifyStreamingProperties",
                "workspaces:ModifyWorkspaceCreationProperties",
                "workspaces:ModifyWorkspaceProperties",
                "workspaces:RebootWorkspaces",
                "workspaces:RebuildWorkspaces",
                "workspaces:RegisterWorkspaceDirectory",
                "workspaces:RestoreWorkspace",
                "workspaces:StartWorkspaces",
                "workspaces:StartWorkspacesPool",
                "workspaces:StopWorkspaces",
                "workspaces:StopWorkspacesPool",
                "workspaces:TerminateWorkspaces",
                "workspaces:TerminateWorkspacesPool",
                "workspaces:TerminateWorkspacesPoolSession",
                "workspaces:UpdateWorkspacesPool"
            ],
            "Resource": "*"
        }
    ]
}

AWS kebijakan terkelola: AmazonWorkspacesPCAAccess

Kebijakan terkelola ini menyediakan akses ke sumber daya AWS Certificate Manager Private Certificate Authority (Private CA) di AWS akun Anda untuk otentikasi berbasis sertifikat. Ini termasuk dalam AmazonWorkSpacesPCAAccess peran, dan memberikan izin berikut:

  • acm-pca- Memungkinkan akses ke AWS Private CA untuk mengelola otentikasi berbasis sertifikat.

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "acm-pca:IssueCertificate",
                "acm-pca:GetCertificate",
                "acm-pca:DescribeCertificateAuthority"
            ],
            "Resource": "arn:*:acm-pca:*:*:*",
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/euc-private-ca": "*"
                }
            }
        }
    ]
}

AWS kebijakan terkelola: AmazonWorkSpacesSelfServiceAccess

Kebijakan ini menyediakan akses ke WorkSpaces layanan Amazon untuk melakukan tindakan WorkSpaces layanan mandiri yang dimulai oleh pengguna. Ini termasuk dalam workspaces_DefaultRole peran, dan memberikan izin berikut:

  • workspaces- Memungkinkan akses ke kemampuan WorkSpaces manajemen swalayan untuk pengguna.

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Action": [
                "workspaces:RebootWorkspaces",
                "workspaces:RebuildWorkspaces",
                "workspaces:ModifyWorkspaceProperties"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

AWS kebijakan terkelola: AmazonWorkSpacesServiceAccess

Kebijakan ini menyediakan akses akun pelanggan ke WorkSpaces layanan Amazon untuk meluncurkan file WorkSpace. Ini termasuk dalam workspaces_DefaultRole peran, dan memberikan izin berikut:

  • ec2- Memungkinkan akses untuk mengelola sumber daya Amazon EC2 yang terkait dengan WorkSpace, seperti antarmuka jaringan.

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Action": [
                "ec2:CreateNetworkInterface",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeNetworkInterfaces"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

AWS kebijakan terkelola: AmazonWorkSpacesPoolServiceAccess

Kebijakan ini digunakan di ruang kerja_DefaultRole, yang WorkSpaces digunakan untuk mengakses sumber daya yang diperlukan di AWS akun pelanggan untuk Pools. WorkSpaces Untuk mengetahui informasi selengkapnya, lihat Buat ruang kerja_ DefaultRole Peran. Ini memberikan izin berikut:

  • ec2- Memungkinkan akses untuk mengelola sumber daya Amazon EC2 yang terkait dengan WorkSpaces Pool, seperti VPC, subnet, zona ketersediaan, grup keamanan, dan tabel rute.

  • s3- Memungkinkan akses untuk melakukan tindakan pada bucket Amazon S3 yang diperlukan untuk log, pengaturan aplikasi, dan fitur Home Folder.

Commercial Wilayah AWS

Kebijakan berikut JSON berlaku untuk iklan Wilayah AWS.

JSON
JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "ProvisioningWorkSpacesPoolPermissions",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeRouteTables",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "WorkSpacesPoolS3Permissions",
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:ListBucket",
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:GetObjectVersion",
                "s3:DeleteObjectVersion",
                "s3:GetBucketPolicy",
                "s3:PutBucketPolicy",
                "s3:PutEncryptionConfiguration"
            ],
            "Resource": [
                "arn:aws:s3:::wspool-logs-*",
                "arn:aws:s3:::wspool-app-settings-*",
                "arn:aws:s3:::wspool-home-folder-*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        }
    ]
}
AWS GovCloud (US) Regions

Kebijakan berikut JSON berlaku untuk iklan AWS GovCloud (US) Regions.

JSON
JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "ProvisioningWorkSpacesPoolPermissions",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeRouteTables",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "WorkSpacesPoolS3Permissions",
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:ListBucket",
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:GetObjectVersion",
                "s3:DeleteObjectVersion",
                "s3:GetBucketPolicy",
                "s3:PutBucketPolicy",
                "s3:PutEncryptionConfiguration"
            ],
            "Resource": [
                "arn:aws-us-gov:s3:::wspool-logs-*",
                "arn:aws-us-gov:s3:::wspool-app-settings-*",
                "arn:aws-us-gov:s3:::wspool-home-folder-*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        }
    ]
}

WorkSpaces update ke AWS kebijakan terkelola

Lihat detail tentang pembaruan kebijakan AWS terkelola WorkSpaces sejak layanan ini mulai melacak perubahan ini.

Ubah Deskripsi Date
AWS kebijakan terkelola: AmazonWorkSpacesPoolServiceAccess- Ditambahkan kebijakan baru WorkSpaces menambahkan kebijakan terkelola baru untuk memberikan izin untuk melihat VPC Amazon EC2 dan sumber daya terkait, serta untuk melihat dan mengelola bucket Amazon S3 untuk Pools. WorkSpaces Juni 24, 2024
AWS kebijakan terkelola: AmazonWorkSpacesAdmin- Kebijakan yang diperbarui WorkSpaces menambahkan beberapa tindakan untuk WorkSpaces Pools ke kebijakan WorkSpacesAdmin terkelola Amazon, memberikan akses admin untuk mengelola WorkSpace sumber daya Pool. Juni 24, 2024
AWS kebijakan terkelola: AmazonWorkSpacesAdmin- Kebijakan yang diperbarui WorkSpaces menambahkan workspaces:RestoreWorkspace tindakan ke kebijakan WorkSpacesAdmin terkelola Amazon, memberikan akses admin untuk memulihkan. WorkSpaces Juni 25, 2023
AWS kebijakan terkelola: AmazonWorkspacesPCAAccess- Ditambahkan kebijakan baru WorkSpaces menambahkan kebijakan terkelola baru untuk memberikan acm-pca izin mengelola AWS Private CA untuk mengelola otentikasi berbasis sertifikat. 18 November 2022
WorkSpaces mulai melacak perubahan WorkSpaces mulai melacak perubahan untuk kebijakan WorkSpaces terkelolanya. 1 Maret 2021