Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Keamanan di Amazon WorkSpaces
Keamanan cloud di AWS adalah prioritas tertinggi. Sebagai AWS pelanggan, Anda mendapat manfaat dari pusat data dan arsitektur jaringan yang dibangun untuk memenuhi persyaratan organisasi yang paling sensitif terhadap keamanan.
Keamanan adalah tanggung jawab bersama antara Anda AWS dan Anda. [Model tanggung jawab bersama](https://aws.amazon.com/compliance/shared-responsibility-model/) menjelaskan hal ini sebagai keamanan *dari* cloud dan keamanan *dalam* cloud:
+ **Keamanan cloud** — AWS bertanggung jawab untuk melindungi infrastruktur yang menjalankan AWS layanan di AWS Cloud. AWS juga memberi Anda layanan yang dapat Anda gunakan dengan aman. Auditor pihak ketiga secara teratur menguji dan memverifikasi efektivitas keamanan kami sebagai bagian dari [Program AWS Kepatuhan Program AWS Kepatuhan](https://aws.amazon.com/compliance/programs/) . Untuk mempelajari tentang program kepatuhan yang berlaku untuk Amazon WorkSpaces, lihat [AWS Layanan dalam Lingkup berdasarkan AWS Layanan Program Kepatuhan](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Keamanan di cloud** — Tanggung jawab Anda ditentukan oleh AWS layanan yang Anda gunakan. Anda juga bertanggung jawab atas faktor lain, yang mencakup kepekaan data Anda, persyaratan perusahaan, serta peraturan perundangan yang berlaku
Dokumentasi ini membantu Anda memahami cara menerapkan model tanggung jawab bersama saat menggunakan WorkSpaces. Topik berikut menunjukkan cara mengonfigurasi WorkSpaces untuk memenuhi tujuan keamanan dan kepatuhan Anda. Anda juga belajar cara menggunakan AWS layanan lain yang membantu Anda memantau dan mengamankan WorkSpaces sumber daya Anda.
**Topics**
+ [Perlindungan data di Amazon WorkSpaces](data-protection.md)
+ [Identitas dan manajemen akses untuk WorkSpaces](workspaces-access-control.md)
+ [Validasi kepatuhan untuk Amazon WorkSpaces](compliance-validation.md)
+ [Ketahanan di Amazon WorkSpaces](disaster-recovery-resiliency.md)
+ [Keamanan Infrastruktur di Amazon WorkSpaces](infrastructure-security.md)
+ [Perbarui manajemen di WorkSpaces](update-management.md)
# Perlindungan data di Amazon WorkSpaces
[Model tanggung jawab AWS bersama model](https://aws.amazon.com/compliance/shared-responsibility-model/) berlaku untuk perlindungan data di Amazon WorkSpaces. Seperti yang dijelaskan dalam model AWS ini, bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua AWS Cloud. Anda bertanggung jawab untuk mempertahankan kendali atas konten yang di-host pada infrastruktur ini. Anda juga bertanggung jawab atas tugas-tugas konfigurasi dan manajemen keamanan untuk Layanan AWS yang Anda gunakan. Lihat informasi yang lebih lengkap tentang privasi data dalam [Pertanyaan Umum Privasi Data](https://aws.amazon.com/compliance/data-privacy-faq/). Lihat informasi tentang perlindungan data di Eropa di pos blog [Model Tanggung Jawab Bersama dan GDPR AWS](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) di *Blog Keamanan AWS *.
Untuk tujuan perlindungan data, kami menyarankan Anda melindungi Akun AWS kredensyal dan mengatur pengguna individu dengan AWS IAM Identity Center atau AWS Identity and Access Management (IAM). Dengan cara itu, setiap pengguna hanya diberi izin yang diperlukan untuk memenuhi tanggung jawab tugasnya. Kami juga menyarankan supaya Anda mengamankan data dengan cara-cara berikut:
+ Gunakan autentikasi multi-faktor (MFA) pada setiap akun.
+ Gunakan SSL/TLS untuk berkomunikasi dengan AWS sumber daya. Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
+ Siapkan API dan pencatatan aktivitas pengguna dengan AWS CloudTrail. Untuk informasi tentang penggunaan CloudTrail jejak untuk menangkap AWS aktivitas, lihat [Bekerja dengan CloudTrail jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) di *AWS CloudTrail Panduan Pengguna*.
+ Gunakan solusi AWS enkripsi, bersama dengan semua kontrol keamanan default di dalamnya Layanan AWS.
+ Gunakan layanan keamanan terkelola tingkat lanjut seperti Amazon Macie, yang membantu menemukan dan mengamankan data sensitif yang disimpan di Amazon S3.
+ Jika Anda memerlukan modul kriptografi tervalidasi FIPS 140-3 saat mengakses AWS melalui antarmuka baris perintah atau API, gunakan titik akhir FIPS. Lihat informasi selengkapnya tentang titik akhir FIPS yang tersedia di [Standar Pemrosesan Informasi Federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Kami sangat merekomendasikan agar Anda tidak pernah memasukkan informasi identifikasi yang sensitif, seperti nomor rekening pelanggan Anda, ke dalam tanda atau bidang isian bebas seperti bidang **Nama**. Ini termasuk saat Anda bekerja dengan WorkSpaces atau lainnya Layanan AWS menggunakan konsol, API AWS CLI, atau AWS SDKs. Data apa pun yang Anda masukkan ke dalam tanda atau bidang isian bebas yang digunakan untuk nama dapat digunakan untuk log penagihan atau log diagnostik. Saat Anda memberikan URL ke server eksternal, kami sangat menganjurkan supaya Anda tidak menyertakan informasi kredensial di dalam URL untuk memvalidasi permintaan Anda ke server itu.
Untuk informasi selengkapnya tentang WorkSpaces dan enkripsi titik akhir FIPS, lihat. [Konfigurasikan otorisasi FedRAMP atau kepatuhan DoD SRG untuk Pribadi WorkSpaces](fips-encryption.md)
## Enkripsi diam
Anda dapat mengenkripsi volume penyimpanan untuk WorkSpaces menggunakan AWS KMS Key from AWS Key Management Service. Untuk informasi selengkapnya, lihat [Dienkripsi dalam Pribadi WorkSpaces WorkSpaces](encrypt-workspaces.md).
Saat Anda membuat WorkSpaces dengan volume terenkripsi, gunakan WorkSpaces Amazon Elastic Block Store (Amazon EBS) untuk membuat dan mengelola volume tersebut. EBS mengenkripsi kunci data volume Anda menggunakan algoritme AES-256 standar industri. Untuk informasi selengkapnya, lihat [Enkripsi Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html) di *Panduan EC2 Pengguna Amazon*.
## Enkripsi bergerak
Untuk PCo IP, data dalam transit dienkripsi menggunakan enkripsi TLS 1.2 dan penandatanganan permintaan SiGv4. Protokol PCo IP menggunakan lalu lintas UDP terenkripsi, dengan enkripsi AES, untuk streaming piksel. Koneksi streaming, menggunakan port 4172 (TCP dan UDP), dienkripsi dengan menggunakan cipher AES-128 dan AES-256, tetapi enkripsi defaultnya 128-bit. Anda dapat mengubah default ini menjadi 256-bit, baik dengan menggunakan pengaturan Kebijakan Grup **Pengaturan Keamanan PCo IP Konfigurasi** untuk Windows WorkSpaces, atau dengan memodifikasi **Pengaturan Keamanan PCo IP dalam file** `pcoip-agent.conf` untuk Amazon Linux. WorkSpaces
Untuk mempelajari selengkapnya tentang Administrasi Kebijakan Grup untuk Amazon WorkSpaces, lihat [Konfigurasikan pengaturan keamanan PCo IP](group_policy.md#gp_security) di[Kelola Windows Anda WorkSpaces secara WorkSpaces Pribadi](group_policy.md). Untuk mempelajari lebih lanjut tentang memodifikasi `pcoip-agent.conf` file, lihat [Kontrol perilaku Agen PCo IP di Amazon Linux WorkSpaces](manage_linux_workspace.md#pcoip_agent_linux) dan [Pengaturan Keamanan PCo IP dalam dokumentasi](https://www.teradici.com/web-help/pcoip_agent/standard_agent/linux/21.03/admin-guide/configuring/configuring/#pcoip-security-settings) Teradici.
Untuk DCV, streaming dan kontrol data dalam transit dienkripsi menggunakan enkripsi TLS 1.3 untuk lalu lintas UDP dan enkripsi TLS 1.2 untuk lalu lintas TCP, dengan cipher AES-256.
# Identitas dan manajemen akses untuk WorkSpaces
Secara default, pengguna IAM tidak memiliki izin untuk WorkSpaces sumber daya dan operasi. Untuk mengizinkan pengguna IAM mengelola WorkSpaces sumber daya, Anda harus membuat kebijakan IAM yang secara eksplisit memberi mereka izin, dan melampirkan kebijakan tersebut ke pengguna IAM atau grup yang memerlukan izin tersebut.
**catatan**
Amazon WorkSpaces tidak mendukung penyediaan kredensional IAM ke dalam WorkSpace (seperti dengan profil instance).
Untuk memberikan akses dan menambahkan izin bagi pengguna, grup, atau peran Anda:
+ Pengguna dan grup di AWS IAM Identity Center:
Buat rangkaian izin. Ikuti instruksi di [Buat rangkaian izin](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) dalam *Panduan Pengguna AWS IAM Identity Center *.
+ Pengguna yang dikelola di IAM melalui penyedia identitas:
Buat peran untuk federasi identitas. Ikuti instruksi dalam [Buat peran untuk penyedia identitas pihak ketiga (federasi)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) dalam *Panduan Pengguna IAM*.
+ Pengguna IAM:
+ Buat peran yang dapat diambil pengguna Anda. Ikuti instruksi dalam [Buat peran untuk pengguna IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) dalam *Panduan Pengguna IAM*.
+ (Tidak disarankan) Lampirkan kebijakan langsung ke pengguna atau tambahkan pengguna ke grup pengguna. Ikuti petunjuk dalam [Menambahkan izin ke pengguna (konsol)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) dalam *Panduan Pengguna IAM*.
Berikut ini adalah sumber daya tambahan untuk IAM:
+ Untuk informasi selengkapnya tentang kebijakan IAM, lihat [Izin dan Kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dalam *Panduan Pengguna IAM*.
+ Untuk informasi selengkapnya tentang IAM, lihat [Identity and Access Management (IAM)](https://aws.amazon.com/iam) di [https://docs.aws.amazon.com/IAM/latest/UserGuide/](https://docs.aws.amazon.com/IAM/latest/UserGuide/).
+ Untuk informasi selengkapnya tentang kunci konteks sumber daya, tindakan, dan kondisi WorkSpaces khusus untuk digunakan dalam kebijakan izin IAM, lihat [Tindakan, Sumber Daya, dan Kunci Kondisi untuk Amazon WorkSpaces di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonworkspaces.html) Pengguna *IAM*.
+ Untuk alat yang membantu Anda membuat kebijakan IAM, lihat [Generator AWS Kebijakan](https://aws.amazon.com/blogs/aws/aws-policy-generator/). Anda juga dapat menggunakan [Simulator Kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UsingPolicySimulatorGuide/) untuk menguji apakah kebijakan mengizinkan atau menolak permintaan khusus ke AWS.
**Topics**
+ [Contoh kebijakan](#workspaces-example-iam-policies)
+ [Tentukan WorkSpaces sumber daya dalam kebijakan IAM](#wsp_iam_resource)
+ [Buat ruang kerja\$1 DefaultRole Peran](#create-default-role)
+ [Buat peran AmazonWorkSpaces PCAAccess layanan](#create-pca-access-role)
+ [AWS kebijakan terkelola untuk WorkSpaces](managed-policies.md)
+ [Akses ke WorkSpaces dan skrip pada instans streaming](using-iam-roles-to-grant-permissions-to-applications-scripts-streaming-instances.md)
+ [Referensi izin operasi WorkSpaces Konsol Amazon](wsp-console-permissions-ref.md)
## Contoh kebijakan
Contoh berikut menunjukkan pernyataan kebijakan yang dapat Anda gunakan untuk mengontrol izin yang dimiliki pengguna IAM ke Amazon. WorkSpaces
### Contoh 1: Berikan akses untuk melakukan tugas WorkSpaces pribadi dan kumpulan
Pernyataan kebijakan berikut memberikan izin kepada pengguna IAM untuk melakukan tugas WorkSpaces pribadi dan kumpulan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:*",
"workspaces:*",
"application-autoscaling:DeleteScalingPolicy",
"application-autoscaling:DeleteScheduledAction",
"application-autoscaling:DeregisterScalableTarget",
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"application-autoscaling:PutScalingPolicy",
"application-autoscaling:PutScheduledAction",
"application-autoscaling:RegisterScalableTarget",
"cloudwatch:DeleteAlarms",
"cloudwatch:DescribeAlarms",
"cloudwatch:PutMetricAlarm",
"ec2:AssociateRouteTable",
"ec2:AttachInternetGateway",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateInternetGateway",
"ec2:CreateNetworkInterface",
"ec2:CreateRoute",
"ec2:CreateRouteTable",
"ec2:CreateSecurityGroup",
"ec2:CreateSubnet",
"ec2:CreateTags",
"ec2:CreateVpc",
"ec2:DeleteNetworkInterface",
"ec2:DeleteSecurityGroup",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeInternetGateways",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"iam:AttachRolePolicy",
"iam:CreatePolicy",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:PutRolePolicy",
"kms:ListAliases",
"kms:ListKeys",
"secretsmanager:ListSecrets",
"tag:GetResources",
"sso-directory:SearchUsers",
"sso:CreateApplication",
"sso:DeleteApplication",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:GetApplicationGrant",
"sso:ListInstances",
"sso:PutApplicationAssignmentConfiguration",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "workspaces.amazonaws.com"
}
}
}
]
}
```
------
### Contoh 2: Berikan akses untuk melakukan tugas-tugas WorkSpaces Pribadi
Pernyataan kebijakan berikut memberikan izin kepada pengguna IAM untuk melakukan semua tugas WorkSpaces Pribadi.
Meskipun Amazon WorkSpaces sepenuhnya mendukung `Action` dan `Resource` elemen saat menggunakan API dan alat baris perintah, untuk menggunakan Amazon WorkSpaces dari Konsol Manajemen AWS, pengguna IAM harus memiliki izin untuk tindakan dan sumber daya berikut:
+ Tindakan: `"ds:*"`
+ Sumber Daya: `"Resource": "*"`
Contoh kebijakan berikut menunjukkan cara mengizinkan pengguna IAM untuk menggunakan Amazon WorkSpaces dari. Konsol Manajemen AWS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"workspaces:*",
"ds:*",
"iam:GetRole",
"iam:CreateRole",
"iam:PutRolePolicy",
"iam:CreatePolicy",
"iam:AttachRolePolicy",
"iam:ListRoles",
"kms:ListAliases",
"kms:ListKeys",
"ec2:CreateVpc",
"ec2:CreateSubnet",
"ec2:CreateNetworkInterface",
"ec2:CreateInternetGateway",
"ec2:CreateRouteTable",
"ec2:CreateRoute",
"ec2:CreateTags",
"ec2:CreateSecurityGroup",
"ec2:DescribeInternetGateways",
"ec2:DescribeSecurityGroups",
"ec2:DescribeRouteTables",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeAvailabilityZones",
"ec2:AttachInternetGateway",
"ec2:AssociateRouteTable",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:DeleteSecurityGroup",
"ec2:DeleteNetworkInterface",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"secretsmanager:ListSecrets",
"sso-directory:SearchUsers",
"sso:CreateApplication",
"sso:DeleteApplication",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:GetApplicationGrant",
"sso:ListInstances",
"sso:PutApplicationAssignmentConfiguration",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "workspaces.amazonaws.com"
}
}
}
]
}
```
------
### Contoh 3: Berikan akses untuk melakukan tugas WorkSpaces Pools
Pernyataan kebijakan berikut memberikan izin kepada pengguna IAM untuk melakukan semua tugas WorkSpaces Pool.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"workspaces:*",
"application-autoscaling:DeleteScalingPolicy",
"application-autoscaling:DeleteScheduledAction",
"application-autoscaling:DeregisterScalableTarget",
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"application-autoscaling:PutScalingPolicy",
"application-autoscaling:PutScheduledAction",
"application-autoscaling:RegisterScalableTarget",
"cloudwatch:DeleteAlarms",
"cloudwatch:DescribeAlarms",
"cloudwatch:PutMetricAlarm",
"ec2:CreateSecurityGroup",
"ec2:CreateTags",
"ec2:DescribeInternetGateways",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"iam:AttachRolePolicy",
"iam:CreatePolicy",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:PutRolePolicy",
"secretsmanager:ListSecrets",
"tag:GetResources"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "workspaces.amazonaws.com"
}
}
},
{
"Action": "iam:CreateServiceLinkedRole",
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/aws-service-role/workspaces.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_WorkSpacesPool",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "workspaces.application-autoscaling.amazonaws.com"
}
}
}
]
}
```
------
### Contoh 4: Lakukan semua WorkSpaces tugas untuk BYOL WorkSpaces
Pernyataan kebijakan berikut memberikan izin kepada pengguna IAM untuk melakukan semua WorkSpaces tugas, termasuk tugas Amazon EC2 yang diperlukan untuk membuat Bring Your Own License (BYOL). WorkSpaces
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:*",
"workspaces:*",
"ec2:AssociateRouteTable",
"ec2:AttachInternetGateway",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateInternetGateway",
"ec2:CreateNetworkInterface",
"ec2:CreateRoute",
"ec2:CreateRouteTable",
"ec2:CreateSecurityGroup",
"ec2:CreateSubnet",
"ec2:CreateTags",
"ec2:CreateVpc",
"ec2:DeleteNetworkInterface",
"ec2:DeleteSecurityGroup",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeImages",
"ec2:DescribeInternetGateways",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:ModifyImageAttribute",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"iam:CreateRole",
"iam:GetRole",
"iam:PutRolePolicy",
"kms:ListAliases",
"kms:ListKeys"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "workspaces.amazonaws.com"
}
}
}
]
}
```
------
## Tentukan WorkSpaces sumber daya dalam kebijakan IAM
Untuk menentukan WorkSpaces sumber daya dalam `Resource` elemen pernyataan kebijakan, gunakan Amazon Resource Name (ARN) sumber daya. Anda mengontrol akses ke WorkSpaces sumber daya dengan mengizinkan atau menolak izin untuk menggunakan tindakan API yang ditentukan dalam `Action` elemen pernyataan kebijakan IAM Anda. WorkSpaces mendefinisikan ARNs untuk WorkSpaces, bundel, grup IP, dan direktori.
### WorkSpace ARN
WorkSpace ARN memiliki sintaks yang ditunjukkan dalam contoh berikut.
```
arn:aws:workspaces:region:account_id:workspace/workspace_identifier
```
*region*
Wilayah tempat WorkSpace berada (misalnya,`us-east-1`).
*account\$1id*
ID AWS akun, tanpa tanda hubung (misalnya,`123456789012`).
*workspace\$1identifier*
ID dari WorkSpace (misalnya,`ws-a1bcd2efg`).
Berikut ini adalah format `Resource` elemen pernyataan kebijakan yang mengidentifikasi spesifik WorkSpace.
```
"Resource": "arn:aws:workspaces:region:account_id:workspace/workspace_identifier"
```
Anda dapat menggunakan `*` wildcard untuk menentukan semua WorkSpaces yang dimiliki akun tertentu di Wilayah tertentu.
### WorkSpace kolam ARN
Sebuah WorkSpace kolam ARN memiliki sintaks yang ditunjukkan dalam contoh berikut.
```
arn:aws:workspaces:region:account_id:workspacespool/workspacespool_identifier
```
*region*
Wilayah tempat WorkSpace berada (misalnya,`us-east-1`).
*account\$1id*
ID AWS akun, tanpa tanda hubung (misalnya,`123456789012`).
*workspacespool\$1identifier*
ID WorkSpace kolam (misalnya,`ws-a1bcd2efg`).
Berikut ini adalah format `Resource` elemen pernyataan kebijakan yang mengidentifikasi spesifik WorkSpace.
```
"Resource": "arn:aws:workspaces:region:account_id:workspacespool/workspacespool_identifier"
```
Anda dapat menggunakan `*` wildcard untuk menentukan semua WorkSpaces yang dimiliki akun tertentu di Wilayah tertentu.
### Sertifikat ARN
Sebuah WorkSpace sertifikat ARN memiliki sintaks yang ditunjukkan dalam contoh berikut.
```
arn:aws:workspaces:region:account_id:workspacecertificate/workspacecertificateidentifier
```
*region*
Wilayah tempat WorkSpace berada (misalnya,`us-east-1`).
*account\$1id*
ID AWS akun, tanpa tanda hubung (misalnya,`123456789012`).
*workspacecertificate\$1identifier*
ID WorkSpace sertifikat (misalnya,`ws-a1bcd2efg`).
Berikut ini adalah format `Resource` elemen pernyataan kebijakan yang mengidentifikasi WorkSpace sertifikat tertentu.
```
"Resource": "arn:aws:workspaces:region:account_id:workspacecertificate/workspacecertificate_identifier"
```
Anda dapat menggunakan `*` wildcard untuk menentukan semua WorkSpaces yang dimiliki akun tertentu di Wilayah tertentu.
### ARN citra
Sebuah WorkSpace gambar ARN memiliki sintaks yang ditunjukkan dalam contoh berikut.
```
arn:aws:workspaces:region:account_id:workspaceimage/image_identifier
```
*region*
Wilayah tempat WorkSpace gambar berada (misalnya,`us-east-1`).
*account\$1id*
ID AWS akun, tanpa tanda hubung (misalnya,`123456789012`).
*bundle\$1identifier*
ID WorkSpace gambar (misalnya,`wsi-a1bcd2efg`).
Berikut ini adalah format elemen `Resource` pernyataan kebijakan yang mengidentifikasi citra tertentu.
```
"Resource": "arn:aws:workspaces:region:account_id:workspaceimage/image_identifier"
```
Anda dapat menggunakan wildcard `*` untuk menentukan semua citra milik akun tertentu dalam Wilayah tertentu.
### ARN Paket
ARN Paket memiliki sintaksis yang ditunjukkan dalam contoh berikut.
```
arn:aws:workspaces:region:account_id:workspacebundle/bundle_identifier
```
*region*
Wilayah tempat WorkSpace berada (misalnya,`us-east-1`).
*account\$1id*
ID AWS akun, tanpa tanda hubung (misalnya,`123456789012`).
*bundle\$1identifier*
ID WorkSpace bundel (misalnya,`wsb-a1bcd2efg`).
Berikut ini adalah format elemen `Resource` pernyataan kebijakan yang mengidentifikasi paket tertentu.
```
"Resource": "arn:aws:workspaces:region:account_id:workspacebundle/bundle_identifier"
```
Anda dapat menggunakan wildcard `*` untuk menentukan semua paket milik akun tertentu dalam Wilayah tertentu.
### ARN Grup IP
ARN Grup IP memiliki sintaksis yang ditunjukkan dalam contoh berikut.
```
arn:aws:workspaces:region:account_id:workspaceipgroup/ipgroup_identifier
```
*region*
Wilayah tempat WorkSpace berada (misalnya,`us-east-1`).
*account\$1id*
ID AWS akun, tanpa tanda hubung (misalnya,`123456789012`).
*ipgroup\$1identifier*
ID dari grup IP (misalnya, `wsipg-a1bcd2efg`).
Berikut ini adalah format elemen `Resource` pernyataan kebijakan yang mengidentifikasi grup IP tertentu.
```
"Resource": "arn:aws:workspaces:region:account_id:workspaceipgroup/ipgroup_identifier"
```
Anda dapat menggunakan wildcard `*` untuk menentukan semua grup IP milik akun tertentu dalam Wilayah tertentu.
### ARN Direktori
Sebuah direktori ARN memiliki sintaksis yang ditunjukkan dalam contoh berikut.
```
arn:aws:workspaces:region:account_id:directory/directory_identifier
```
*region*
Wilayah tempat WorkSpace berada (misalnya,`us-east-1`).
*account\$1id*
ID AWS akun, tanpa tanda hubung (misalnya,`123456789012`).
*directory\$1identifier*
ID direktori (misalnya, `d-12345a67b8`).
Berikut ini adalah format elemen `Resource` pernyataan kebijakan yang mengidentifikasi direktori tertentu.
```
"Resource": "arn:aws:workspaces:region:account_id:directory/directory_identifier"
```
Anda dapat menggunakan wildcard `*` untuk menentukan semua direktori milik akun tertentu dalam Wilayah tertentu.
### ARN alias hubungan
ARN alias hubungan memiliki sintaksis yang ditunjukkan dalam contoh berikut.
```
arn:aws:workspaces:region:account_id:connectionalias/connectionalias_identifier
```
*region*
Wilayah tempat hubungan alias berada (misalnya, `us-east-1`).
*account\$1id*
ID AWS akun, tanpa tanda hubung (misalnya,`123456789012`).
*connectionalias\$1identifier*
ID dari alias hubungan (misalnya, `wsca-12345a67b8`).
Berikut ini adalah format elemen `Resource` pernyataan kebijakan yang mengidentifikasi alias hubungan tertentu.
```
"Resource": "arn:aws:workspaces:region:account_id:connectionalias/connectionalias_identifier"
```
Anda dapat menggunakan wildcard `*` untuk menentukan semua alias hubungan milik akun tertentu dalam Wilayah tertentu.
### Tindakan API yang tidak memiliki dukungan untuk izin di tingkat sumber daya
Anda tidak dapat menentukan sumber daya ARN dengan tindakan API berikut:
+ `AssociateIpGroups`
+ `CreateIpGroup`
+ `CreateTags`
+ `DeleteTags`
+ `DeleteWorkspaceImage`
+ `DescribeAccount`
+ `DescribeAccountModifications`
+ `DescribeIpGroups`
+ `DescribeTags`
+ `DescribeWorkspaceDirectories`
+ `DescribeWorkspaceImages`
+ `DescribeWorkspaces`
+ `DescribeWorkspacesConnectionStatus`
+ `DisassociateIpGroups`
+ `ImportWorkspaceImage`
+ `ListAvailableManagementCidrRanges`
+ `ModifyAccount`
Untuk tindakan API yang tidak mendukung izin tingkat sumber daya, Anda harus menetapkan pernyataan sumber daya yang ditunjukkan dalam contoh berikut.
```
"Resource": "*"
```
### Tindakan API yang tidak mendukung pembatasan tingkat akun pada sumber daya bersama
Untuk tindakan API berikut, Anda tidak dapat menentukan ID akun di ARN sumber daya saat sumber daya tidak dimiliki oleh akun:
+ `AssociateConnectionAlias`
+ `CopyWorkspaceImage`
+ `DisassociateConnectionAlias`
Untuk tindakan API ini, Anda dapat menentukan ID akun di ARN sumber daya hanya ketika akun memiliki sumber daya untuk ditindaklanjuti. Bila akun tidak memiliki sumber daya, Anda harus menentukan `*` untuk ID akun, seperti yang ditunjukkan dalam contoh berikut.
```
"arn:aws:workspaces:region:*:resource_type/resource_identifier"
```
## Buat ruang kerja\$1 DefaultRole Peran
Sebelum Anda dapat mendaftarkan direktori menggunakan API, Anda harus memverifikasi bahwa peran bernama `workspaces_DefaultRole` ada. Peran ini dibuat oleh Pengaturan Cepat atau jika Anda meluncurkan WorkSpace menggunakan Konsol Manajemen AWS, dan itu memberikan WorkSpaces izin Amazon untuk mengakses AWS sumber daya tertentu atas nama Anda. Jika peran ini tidak ada, Anda dapat membuatnya menggunakan prosedur berikut.
**Untuk membuat peran ruang kerja\$1 DefaultRole**
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Pada panel navigasi di sebelah kiri, pilih **Peran**.
1. Pilih **Buat peran**.
1. Di **Pilih tipe entitas terpercaya**, pilih **Akun AWS lain**.
1. Untuk **ID Akun**, masukkan ID akun Anda tanpa tanda hubung atau spasi.
1. Untuk **Opsi**, jangan tentukan Autentikasi Multi-Faktor (MFA).
1. Pilih **Selanjutnya: Izin**.
1. Pada halaman **Lampirkan kebijakan izin**, pilih kebijakan AWS terkelola **AmazonWorkSpacesServiceAccess**AmazonWorkSpacesSelfServiceAccess****, dan **AmazonWorkSpacesPoolServiceAccess**. Untuk informasi selengkapnya tentang kebijakan terkelola ini, lihat[AWS kebijakan terkelola untuk WorkSpaces](managed-policies.md).
1. Di bawah **Setel batas izin**, sebaiknya Anda tidak menggunakan batas izin karena potensi konflik dengan kebijakan yang dilampirkan pada peran ini. Konflik tersebut dapat memblokir izin tertentu yang diperlukan untuk peran tersebut.
1. Pilih **Selanjutnya: Tanda**.
1. Pada halaman **Tambahkan tanda (opsional)**, tambahkan tanda jika diperlukan.
1. Pilih **Selanjutnya: Tinjau**.
1. Pada halaman **Tinjau**, untuk **Nama peran**, masukkan **workspaces\$1DefaultRole**.
1. (Opsional) Untuk **Deskripsi peran**, masukkan deskripsi.
1. Pilih **Buat Peran**.
1. Pada halaman **Ringkasan** untuk DefaultRole peran workspaces\$1, pilih tab **Trust** relationship.
1. Pilih tab **Hubungan Kepercayaan**, pilih **Edit Hubungan Kepercayaan**.
1. Pada halaman **Edit Hubungan kepercayaan**, gantikan pernyataan kebijakan yang ada dengan pernyataan berikut.
```
{
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "workspaces.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
1. Pilih **Perbarui Kebijakan Kepercayaan**.
## Buat peran AmazonWorkSpaces PCAAccess layanan
Sebelum pengguna dapat masuk menggunakan otentikasi berbasis sertifikat, Anda harus memverifikasi bahwa peran bernama ada. `AmazonWorkSpacesPCAAccess` Peran ini dibuat saat Anda mengaktifkan otentikasi berbasis sertifikat pada Direktori menggunakan Konsol Manajemen AWS, dan memberikan WorkSpaces izin Amazon untuk mengakses AWS Private CA sumber daya atas nama Anda. Jika peran ini tidak ada karena Anda tidak menggunakan konsol untuk mengelola otentikasi berbasis sertifikat, Anda dapat membuatnya menggunakan prosedur berikut.
**Untuk membuat peran AmazonWorkSpaces PCAAccess layanan menggunakan AWS CLI**
1. Buat file JSON bernama `AmazonWorkSpacesPCAAccess.json` dengan teks berikut.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "prod.euc.ecm.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Sesuaikan `AmazonWorkSpacesPCAAccess.json` jalur sesuai kebutuhan dan jalankan AWS CLI perintah berikut untuk membuat peran layanan dan melampirkan kebijakan [AmazonWorkspacesPCAAccess](managed-policies.md#workspaces-pca-access)terkelola.
```
aws iam create-role --path /service-role/ --role-name AmazonWorkSpacesPCAAccess --assume-role-policy-document file://AmazonWorkSpacesPCAAccess.json
```
```
aws iam attach-role-policy —role-name AmazonWorkSpacesPCAAccess —policy-arn arn:aws:iam::aws:policy/AmazonWorkspacesPCAAccess
```
# AWS kebijakan terkelola untuk WorkSpaces
Menggunakan kebijakan AWS terkelola membuat menambahkan izin ke pengguna, grup, dan peran lebih mudah daripada menulis kebijakan sendiri. Dibutuhkan waktu dan keahlian untuk membuat [kebijakan terkelola pelanggan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) yang hanya memberi tim Anda izin yang mereka butuhkan. Gunakan kebijakan AWS terkelola untuk memulai dengan cepat. Kebijakan ini mencakup kasus penggunaan umum dan tersedia di AWS akun Anda. Untuk informasi selengkapnya tentang kebijakan AWS [AWS terkelola, lihat kebijakan terkelola](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) di *Panduan Pengguna IAM*.
AWS layanan memelihara dan memperbarui kebijakan AWS terkelola. Anda tidak dapat mengubah izin dalam kebijakan AWS terkelola. Layanan terkadang dapat menambahkan izin tambahan ke kebijakan AWS terkelola untuk mendukung fitur baru. Jenis pembaruan ini akan memengaruhi semua identitas (pengguna, grup, dan peran) di mana kebijakan tersebut dilampirkan. Layanan kemungkinan besar akan memperbarui kebijakan AWS terkelola saat fitur baru diluncurkan atau saat operasi baru tersedia. Layanan tidak menghapus izin dari kebijakan AWS terkelola, sehingga pembaruan kebijakan tidak akan merusak izin yang ada.
Selain itu, AWS mendukung kebijakan terkelola untuk fungsi pekerjaan yang mencakup beberapa layanan. Misalnya, kebijakan `ReadOnlyAccess` AWS terkelola menyediakan akses hanya-baca ke semua AWS layanan dan sumber daya. Saat layanan meluncurkan fitur baru, AWS menambahkan izin hanya-baca untuk operasi dan sumber daya baru. Untuk melihat daftar dan deskripsi dari kebijakan fungsi tugas, lihat [kebijakan yang dikelola AWS untuk fungsi tugas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) di *Panduan Pengguna IAM*.
## AWS kebijakan terkelola: AmazonWorkSpacesAdmin
**catatan**
Izin yang tercantum hanya untuk SDK dan tidak akan berfungsi untuk Konsol. Konsol memerlukan izin tambahan yang tercantum dalam referensi [izin operasi WorkSpaces Konsol Amazon](wsp-console-permissions-ref.md).
Kebijakan ini menyediakan akses ke tindakan WorkSpaces administratif Amazon. Ini memberikan izin berikut:
+ `workspaces`- Memungkinkan akses untuk melakukan tindakan administratif pada sumber daya WorkSpaces Pribadi dan WorkSpaces Kolam.
+ `kms`- Memungkinkan akses ke daftar dan menggambarkan kunci KMS, serta daftar alias.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonWorkSpacesAdmin",
"Effect": "Allow",
"Action": [
"kms:DescribeKey",
"kms:ListAliases",
"kms:ListKeys",
"workspaces:CreateTags",
"workspaces:CreateWorkspaceImage",
"workspaces:CreateWorkspaces",
"workspaces:CreateWorkspacesPool",
"workspaces:CreateStandbyWorkspaces",
"workspaces:DeleteTags",
"workspaces:DeregisterWorkspaceDirectory",
"workspaces:DescribeTags",
"workspaces:DescribeWorkspaceBundles",
"workspaces:DescribeWorkspaceDirectories",
"workspaces:DescribeWorkspaces",
"workspaces:DescribeWorkspacesPools",
"workspaces:DescribeWorkspacesPoolSessions",
"workspaces:DescribeWorkspacesConnectionStatus",
"workspaces:ModifyCertificateBasedAuthProperties",
"workspaces:ModifySamlProperties",
"workspaces:ModifyStreamingProperties",
"workspaces:ModifyWorkspaceCreationProperties",
"workspaces:ModifyWorkspaceProperties",
"workspaces:RebootWorkspaces",
"workspaces:RebuildWorkspaces",
"workspaces:RegisterWorkspaceDirectory",
"workspaces:RestoreWorkspace",
"workspaces:StartWorkspaces",
"workspaces:StartWorkspacesPool",
"workspaces:StopWorkspaces",
"workspaces:StopWorkspacesPool",
"workspaces:TerminateWorkspaces",
"workspaces:TerminateWorkspacesPool",
"workspaces:TerminateWorkspacesPoolSession",
"workspaces:UpdateWorkspacesPool"
],
"Resource": "*"
}
]
}
```
------
## AWS kebijakan terkelola: AmazonWorkspaces PCAAccess
Kebijakan terkelola ini menyediakan akses ke sumber daya AWS Certificate Manager Private Certificate Authority (Private CA) di AWS akun Anda untuk otentikasi berbasis sertifikat. Ini termasuk dalam AmazonWorkSpaces PCAAccess peran, dan memberikan izin berikut:
+ `acm-pca`- Memungkinkan akses ke AWS Private CA untuk mengelola otentikasi berbasis sertifikat.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"acm-pca:IssueCertificate",
"acm-pca:GetCertificate",
"acm-pca:DescribeCertificateAuthority"
],
"Resource": "arn:*:acm-pca:*:*:*",
"Condition": {
"StringLike": {
"aws:ResourceTag/euc-private-ca": "*"
}
}
}
]
}
```
------
## AWS kebijakan terkelola: AmazonWorkSpacesSelfServiceAccess
Kebijakan ini menyediakan akses ke WorkSpaces layanan Amazon untuk melakukan tindakan WorkSpaces layanan mandiri yang dimulai oleh pengguna. Ini termasuk dalam `workspaces_DefaultRole` peran, dan memberikan izin berikut:
+ `workspaces`- Memungkinkan akses ke kemampuan WorkSpaces manajemen swalayan untuk pengguna.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"workspaces:RebootWorkspaces",
"workspaces:RebuildWorkspaces",
"workspaces:ModifyWorkspaceProperties"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## AWS kebijakan terkelola: AmazonWorkSpacesServiceAccess
Kebijakan ini menyediakan akses akun pelanggan ke WorkSpaces layanan Amazon untuk meluncurkan file WorkSpace. Ini termasuk dalam `workspaces_DefaultRole` peran, dan memberikan izin berikut:
+ `ec2`- Memungkinkan akses untuk mengelola sumber daya Amazon EC2 yang terkait dengan WorkSpace, seperti antarmuka jaringan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface",
"ec2:DescribeNetworkInterfaces"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## AWS kebijakan terkelola: AmazonWorkSpacesPoolServiceAccess
Kebijakan ini digunakan di ruang kerja\$1DefaultRole, yang WorkSpaces digunakan untuk mengakses sumber daya yang diperlukan di AWS akun pelanggan untuk Pools. WorkSpaces Untuk mengetahui informasi selengkapnya, lihat [Buat ruang kerja\$1 DefaultRole Peran](workspaces-access-control.md#create-default-role). Ini memberikan izin berikut:
+ `ec2`- Memungkinkan akses untuk mengelola sumber daya Amazon EC2 yang terkait dengan WorkSpaces Pool, seperti subnet VPCs, zona ketersediaan, grup keamanan, dan tabel rute.
+ `s3`- Memungkinkan akses untuk melakukan tindakan pada bucket Amazon S3 yang diperlukan untuk log, pengaturan aplikasi, dan fitur Home Folder.
------
#### [ Commercial Wilayah AWS ]
Kebijakan berikut JSON berlaku untuk iklan Wilayah AWS.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ProvisioningWorkSpacesPoolPermissions",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSecurityGroups",
"ec2:DescribeRouteTables",
"s3:ListAllMyBuckets"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "WorkSpacesPoolS3Permissions",
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:ListBucket",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetObjectVersion",
"s3:DeleteObjectVersion",
"s3:GetBucketPolicy",
"s3:PutBucketPolicy",
"s3:PutEncryptionConfiguration"
],
"Resource": [
"arn:aws:s3:::wspool-logs-*",
"arn:aws:s3:::wspool-app-settings-*",
"arn:aws:s3:::wspool-home-folder-*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
------
#### [ AWS GovCloud (US) Regions ]
Kebijakan berikut JSON berlaku untuk iklan AWS GovCloud (US) Regions.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ProvisioningWorkSpacesPoolPermissions",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSecurityGroups",
"ec2:DescribeRouteTables",
"s3:ListAllMyBuckets"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "WorkSpacesPoolS3Permissions",
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:ListBucket",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetObjectVersion",
"s3:DeleteObjectVersion",
"s3:GetBucketPolicy",
"s3:PutBucketPolicy",
"s3:PutEncryptionConfiguration"
],
"Resource": [
"arn:aws-us-gov:s3:::wspool-logs-*",
"arn:aws-us-gov:s3:::wspool-app-settings-*",
"arn:aws-us-gov:s3:::wspool-home-folder-*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
------
## WorkSpaces pembaruan kebijakan AWS terkelola
Lihat detail tentang pembaruan kebijakan AWS terkelola WorkSpaces sejak layanan ini mulai melacak perubahan ini.
| Ubah | Deskripsi | Date |
| --- | --- | --- |
| [AWS kebijakan terkelola: AmazonWorkSpacesPoolServiceAccess](#workspaces-pools-service-access)- Ditambahkan kebijakan baru | WorkSpaces menambahkan kebijakan terkelola baru untuk memberikan izin untuk melihat Amazon EC2 VPCs dan sumber daya terkait, serta untuk melihat dan mengelola bucket Amazon S3 untuk Kumpulan. WorkSpaces | 24 Juni 2024 |
| [AWS kebijakan terkelola: AmazonWorkSpacesAdmin](#workspaces-admin)- Kebijakan yang diperbarui | WorkSpaces menambahkan beberapa tindakan untuk WorkSpaces Pools ke kebijakan WorkSpacesAdmin terkelola Amazon, memberikan akses admin untuk mengelola WorkSpace sumber daya Pool. | 24 Juni 2024 |
| [AWS kebijakan terkelola: AmazonWorkSpacesAdmin](#workspaces-admin)- Kebijakan yang diperbarui | WorkSpaces menambahkan workspaces:RestoreWorkspace tindakan ke kebijakan WorkSpacesAdmin terkelola Amazon, memberikan akses admin untuk memulihkan. WorkSpaces | Juni 25, 2023 |
| [AWS kebijakan terkelola: AmazonWorkspaces PCAAccess](#workspaces-pca-access)- Ditambahkan kebijakan baru | WorkSpaces menambahkan kebijakan terkelola baru untuk memberikan acm-pca izin mengelola AWS Private CA untuk mengelola otentikasi berbasis sertifikat. | 18 November 2022 |
| WorkSpaces mulai melacak perubahan | WorkSpaces mulai melacak perubahan untuk kebijakan yang WorkSpaces dikelola. | 1 Maret 2021 |
# Akses ke WorkSpaces dan skrip pada instans streaming
Aplikasi dan skrip yang berjalan pada instance WorkSpaces streaming harus menyertakan AWS kredensional dalam permintaan API mereka. AWS Anda dapat membuat peran IAM untuk mengelola kredensional ini. Peran IAM menentukan sekumpulan izin yang dapat Anda gunakan untuk mengakses sumber daya. AWS Namun, peran ini tidak terkait secara unik dengan satu orang. Sebaliknya, dapat diasumsikan oleh siapa saja yang membutuhkannya.
Anda dapat menerapkan peran IAM ke instance WorkSpaces streaming. Saat instance streaming beralih ke (mengasumsikan) peran, peran tersebut menyediakan kredensi keamanan sementara. Aplikasi atau skrip Anda menggunakan kredensional ini untuk melakukan tindakan API dan tugas manajemen pada instance streaming. WorkSpaces mengelola sakelar kredensi sementara untuk Anda.
**Topics**
+ [Praktik Terbaik untuk Menggunakan Peran IAM Dengan Instans WorkSpaces Streaming](#best-practices-for-using-iam-role-with-streaming-instances)
+ [Mengonfigurasi Peran IAM yang Ada untuk Digunakan Dengan WorkSpaces Instans Streaming](#configuring-existing-iam-role-to-use-with-streaming-instances)
+ [Cara Membuat Peran IAM untuk Digunakan Dengan Instans WorkSpaces Streaming](#how-to-create-iam-role-to-use-with-streaming-instances)
+ [Cara Menggunakan Peran IAM Dengan Instans WorkSpaces Streaming](#how-to-use-iam-role-with-streaming-instances)
## Praktik Terbaik untuk Menggunakan Peran IAM Dengan Instans WorkSpaces Streaming
Saat Anda menggunakan peran IAM dengan instans WorkSpaces streaming, kami sarankan Anda mengikuti praktik berikut:
+ Batasi izin yang Anda berikan untuk tindakan dan sumber daya AWS API.
Ikuti prinsip hak istimewa paling sedikit saat Anda membuat dan melampirkan kebijakan IAM ke peran IAM yang terkait dengan WorkSpaces instans streaming. Saat Anda menggunakan aplikasi atau skrip yang memerlukan akses ke tindakan atau sumber daya AWS API, tentukan tindakan dan sumber daya spesifik yang diperlukan. Kemudian, buat kebijakan yang memungkinkan aplikasi atau skrip hanya melakukan tindakan tersebut. Untuk informasi lebih lanjut, lihat [Berikan hak istimewa terkecil](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) dalam *Panduan Pengguna IAM*.
+ Buat peran IAM untuk setiap WorkSpaces sumber daya.
Menciptakan peran IAM yang unik untuk setiap WorkSpaces sumber daya adalah praktik yang mengikuti prinsip hak istimewa paling sedikit. Melakukannya juga memungkinkan Anda mengubah izin untuk sumber daya tanpa memengaruhi sumber daya lainnya.
+ Batasi di mana kredenal dapat digunakan.
Kebijakan IAM memungkinkan Anda menentukan kondisi di mana peran IAM Anda dapat digunakan untuk mengakses sumber daya. Misalnya, Anda dapat menyertakan kondisi untuk menentukan rentang alamat IP tempat permintaan dapat berasal. Melakukannya mencegah kredensional digunakan di luar lingkungan Anda. Untuk informasi selengkapnya, lihat [Menggunakan Ketentuan Kebijakan untuk Keamanan Ekstra](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#use-policy-conditions) di *Panduan Pengguna IAM*.
## Mengonfigurasi Peran IAM yang Ada untuk Digunakan Dengan WorkSpaces Instans Streaming
Topik ini menjelaskan cara mengonfigurasi peran IAM yang ada sehingga Anda dapat menggunakannya. WorkSpaces
**Prasyarat**
Peran IAM yang ingin Anda gunakan WorkSpaces harus memenuhi prasyarat berikut:
+ Peran IAM harus berada di akun Amazon Web Services yang sama dengan instans WorkSpaces streaming.
+ Peran IAM tidak dapat menjadi peran layanan.
+ Kebijakan hubungan kepercayaan yang melekat pada peran IAM harus mencakup WorkSpaces layanan sebagai kepala sekolah. *Principal* adalah entitas AWS yang dapat melakukan tindakan dan mengakses sumber daya. Kebijakan juga harus mencakup `sts:AssumeRole` tindakan. Konfigurasi kebijakan ini didefinisikan WorkSpaces sebagai entitas tepercaya.
+ Jika Anda menerapkan peran IAM WorkSpaces, WorkSpaces harus menjalankan versi WorkSpaces agen yang dirilis pada atau setelah 3 September 2019. Jika Anda menerapkan peran IAM WorkSpaces, WorkSpaces harus menggunakan gambar yang menggunakan versi agen yang dirilis pada atau setelah tanggal yang sama.
**Untuk memungkinkan kepala WorkSpaces layanan untuk mengambil peran IAM yang ada**
Untuk melakukan langkah-langkah berikut, Anda harus masuk ke akun sebagai pengguna IAM yang memiliki izin yang diperlukan untuk membuat daftar dan memperbarui peran IAM. Jika Anda tidak memiliki izin yang diperlukan, minta administrator akun Amazon Web Services Anda untuk melakukan langkah-langkah ini di akun Anda atau memberi Anda izin yang diperlukan.
1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Peran**.
1. Dalam daftar peran di akun Anda, pilih nama peran yang ingin Anda ubah.
1. Pilih tab **Hubungan kepercayaan**, dan kemudian pilih**Ubah hubungan kepercayaan**.
1. Di bawah **Dokumen Kebijakan**, verifikasi bahwa kebijakan hubungan kepercayaan mencakup `sts:AssumeRole` tindakan untuk kepala `workspaces.amazonaws.com` layanan:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"workspaces.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Setelah selesai mengubah kebijakan kepercayaan, pilih **Perbarui Kebijakan Kepercayaan** untuk menyimpan perubahan Anda.
1. Peran IAM yang Anda pilih akan ditampilkan di WorkSpaces konsol. Peran ini memberikan izin ke aplikasi dan skrip untuk melakukan tindakan API dan tugas manajemen pada instance streaming.
## Cara Membuat Peran IAM untuk Digunakan Dengan Instans WorkSpaces Streaming
Topik ini menjelaskan cara membuat peran IAM baru sehingga Anda dapat menggunakannya WorkSpaces
1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Peran**, lalu pilih **Buat peran**.
1. Untuk **Pilih tipe entitas tepercaya**, pilih **Layanan AWS**.
1. Dari daftar AWS layanan, pilih **WorkSpaces**.
1. Di bawah **Pilih kasus penggunaan Anda**, **WorkSpaces — Memungkinkan WorkSpaces instans untuk memanggil AWS layanan atas nama Anda** sudah dipilih. Pilih **Berikutnya: Izin**.
1. Jika memungkinkan, pilih kebijakan yang akan digunakan untuk kebijakan izin atau pilih **Buat kebijakan** untuk membuka tab browser baru dan membuat kebijakan baru dari awal. Untuk informasi selengkapnya, lihat langkah 4 dalam prosedur [Membuat Kebijakan IAM (Konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start) di *Panduan Pengguna IAM*.
Setelah Anda membuat kebijakan, tutup tab tersebut dan kembali ke tab asli Anda. Pilih kotak centang di samping kebijakan izin yang WorkSpaces ingin Anda miliki.
1. (Opsional) Tetapkan batas izin. Ini adalah fitur lanjutan yang tersedia untuk peran layanan, tetapi bukan peran tertaut layanan. Untuk informasi selengkapnya, lihat [Batas Izin untuk Entitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) di Panduan Pengguna *IAM*.
1. Pilih **Berikutnya: Tanda**. Anda dapat secara opsional melampirkan tag sebagai pasangan nilai kunci. Untuk informasi selengkapnya, lihat [Menandai Pengguna dan Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) di Panduan Pengguna *IAM*.
1. Pilih **Berikutnya: Tinjauan**.
1. Untuk **nama Peran**, ketikkan nama peran yang unik dalam akun Amazon Web Services Anda. Karena AWS sumber daya lain mungkin mereferensikan peran tersebut, Anda tidak dapat mengedit nama peran setelah peran tersebut dibuat.
1. Untuk **deskripsi Peran**, simpan deskripsi peran default atau ketik yang baru.
1. Tinjau peran lalu pilih **Buat peran**.
## Cara Menggunakan Peran IAM Dengan Instans WorkSpaces Streaming
Setelah Anda membuat peran IAM, Anda dapat menerapkannya WorkSpaces saat Anda meluncurkan WorkSpaces. Anda juga dapat menerapkan peran IAM ke yang ada WorkSpaces.
Saat Anda menerapkan peran IAM ke WorkSpaces, WorkSpaces mengambil kredensi sementara dan membuat profil kredensi **workspaces\$1machine\$1role** pada instance. Kredensi sementara berlaku selama 1 jam, dan kredenal baru diambil setiap jam. Kredensi sebelumnya tidak kedaluwarsa, sehingga Anda dapat menggunakannya selama valid. Anda dapat menggunakan profil kredensi untuk memanggil AWS layanan secara terprogram dengan menggunakan AWS Command Line Interface (AWSCLI), AWS Tools for PowerShell, atau AWS SDK dengan bahasa pilihan Anda.
Saat Anda melakukan panggilan API, tentukan **workspaces\$1machine\$1role** sebagai profil kredensialnya. Jika tidak, operasi gagal karena izin yang tidak mencukupi.
WorkSpaces mengasumsikan peran yang ditentukan saat instance streaming disediakan. Karena WorkSpaces menggunakan elastic network interface yang terpasang ke VPC Anda untuk panggilan AWS API, aplikasi atau skrip Anda harus menunggu elastis network interface tersedia sebelum melakukan panggilan AWS API. Jika panggilan API dilakukan sebelum elastic network interface tersedia, panggilan akan gagal.
Contoh berikut menunjukkan bagaimana Anda dapat menggunakan profil kredenal **workspaces\$1machine\$1role** untuk mendeskripsikan instance streaming (instance) EC2 dan untuk membuat klien Boto. Boto adalah Amazon Web Services (AWS) SDK untuk Python.
**Jelaskan Instans Streaming (EC2 instance) dengan Menggunakan CLI AWS**
```
aws ec2 describe-instances --region us-east-1 --profile workspaces_machine_role
```
**Jelaskan Instans Streaming (EC2 instance) dengan Menggunakan AWS Alat untuk PowerShell**
Anda harus menggunakan AWS Tools untuk PowerShell versi 3.3.563.1 atau yang lebih baru, dengan Amazon Web Services SDK for .NET versi 3.3.103.22 atau yang lebih baru. Anda dapat mengunduh penginstal AWS Alat untuk Windows, yang mencakup AWS Alat untuk PowerShell dan Amazon Web Services SDK untuk.NET, dari [AWSTools PowerShell](https://aws.amazon.com/powershell/) for website.
```
Get-EC2Instance -Region us-east-1 -ProfileName workspaces_machine_role
```
**Membuat Klien Boto dengan Menggunakan AWS SDK untuk Python**
```
session = boto3.Session(profile_name=workspaces_machine_role')
```
# Referensi izin operasi WorkSpaces Konsol Amazon
Beberapa Amazon hanya WorkSpaces APIs dapat dipanggil melalui Konsol AWS Manajemen. Mereka tidak publik APIs, dalam arti mereka tidak dapat disebut secara terprogram, dan mereka tidak disediakan oleh SDK apa pun. Operasi API ini meliputi:
+ ruang kerja: DirectoryAccessManagement
+ ruang kerja: CreateRootClientCertificate
+ ruang kerja: UpdateRootClientCertificate
+ ruang kerja: DeleteRootClientCertificate
+ ruang kerja: DescribeConsent
+ ruang kerja: UpdateConsent
## WorkSpaces Operasi konsol dan izin yang diperlukan untuk tindakan
Konsol menggunakan tindakan API tambahan untuk fitur-fiturnya, sehingga izin untuk WorkSpaces publik APIs mungkin tidak cukup. Misalnya, pengguna yang memiliki izin untuk menggunakan [CreateWorkspaces](https://docs.aws.amazon.com/workspaces/latest/api/API_CreateWorkspaces.html)API melalui CLI/SDK mungkin mengalami kesalahan saat mencoba membuat WorkSpace di konsol, karena mereka kehilangan izin tertentu untuk memilih atau membuat Pengguna. Tabel ini mencantumkan fitur yang hanya tersedia di WorkSpaces Konsol dan izin tambahan yang diperlukan yang memungkinkan pengguna untuk bekerja dengan bagian tertentu dari konsol ini.
Bagian [Contoh kebijakan](https://docs.aws.amazon.com/workspaces/latest/adminguide/workspaces-access-control.html#workspaces-example-iam-policies) menyediakan daftar izin untuk melakukan semua WorkSpaces tugas untuk Personal, Pools dan WorkSpaces BYOL.
Atau, Anda juga dapat menggunakan izin granular untuk menerapkan izin hak istimewa paling sedikit untuk melakukan tugas.
Tabel ini mencantumkan fitur WorkSpaces Konsol yang bergantung pada fitur APIs yang tidak disediakan oleh SDK dan izin yang diperlukan yang memungkinkan pengguna untuk bekerja dengan bagian tertentu dari konsol ini. Izin ini harus ditambahkan selain tindakan lain yang diperlukan untuk APIs disediakan oleh SDK.
| WorkSpaces Operasi konsol | Izin yang diperlukan |
| --- | --- |
| [WorkSpaces Pengaturan Cepat Pribadi](https://docs.aws.amazon.com/workspaces/latest/adminguide/managing-wsp-personal.html#getting-started) | ruang kerja: DirectoryAccessManagement ds: \$1 EC2: CreateVpc EC2: CreateSubnet EC2: CreateNetworkInterface EC2: CreateInternetGateway EC2: CreateRouteTable EC2: CreateRoute EC2: CreateTags EC2: CreateSecurityGroup EC2: DescribeInternetGateways EC2: DescribeSecurityGroups EC2: DescribeRouteTables EC2: DescribeVpcs EC2: DescribeSubnets EC2: DescribeNetworkInterfaces EC2: DescribeAvailabilityZones EC2: AttachInternetGateway EC2: AssociateRouteTable EC2: AuthorizeSecurityGroupIngress EC2: AuthorizeSecurityGroupEgress saya: CreateRole saya: GetRole saya: PutRolePolicy ruang kerja: DescribeAccount ruang kerja: DescribeWorkspaceDirectories ruang kerja: CreateWorkspaces ruang kerja: DescribeWorkspaces ruang kerja: RegisterWorkspaceDirectory ruang kerja: DescribeWorkspaceBundles ruang kerja: DescribeWorkspaces |
| [Batasi akses ke Perangkat Tepercaya untuk Pribadi WorkSpaces ](https://docs.aws.amazon.com/workspaces/latest/adminguide/trusted-devices.html#configure-restriction) | ruang kerja: CreateRootClientCertificate ruang kerja: UpdateRootClientCertificate ruang kerja: DeleteRootClientCertificate ds: DescribeDirectories EC2: DescribeSubnets EC2: DescribeSecurityGroups ruang kerja: DescribeAccount ruang kerja: DescribeWorkspaceDirectories ruang kerja: DescribeTags ruang kerja: DescribeClientProperties ruang kerja: DescribeConnectClientAddins ruang kerja: DirectoryAccessManagement |
| [Membuat WorkSpace in WorkSpaces Personal di Konsol](https://docs.aws.amazon.com/workspaces/latest/adminguide/create-workspaces-personal.html) — Untuk pengguna create/search/describe direktori Directory Service | ruang kerja: DirectoryAccessManagement ruang kerja: DescribeAccount ruang kerja: CreateWorkspaces ruang kerja: DescribeWorkspaces ruang kerja: DescribeWorkspaceDirectories ruang kerja: DescribeWorkspaceBundles ruang kerja: DescribeTags ruang kerja: CreateTags ruang kerja: DescribeClientProperties km: ListKeys km: ListAliases km: DescribeKey ds: DescribeTrusts ds: DescribeDirectories EC2: DescribeSubnets EC2: DescribeSecurityGroups |
| [Mengelola pengguna di WorkSpaces Pribadi](https://docs.aws.amazon.com/workspaces/latest/adminguide/manage-workspaces-users.html) - Untuk mengedit pengguna dan mengirim email undangan pengguna | ruang kerja: DirectoryAccessManagement ruang kerja: DescribeAccount ruang kerja: DescribeWorkspaceDirectories ruang kerja: DescribeWorkspaces ruang kerja: DescribeTags ruang kerja: DescribeWorkspaceBundles ruang kerja: DescribeWorkspacesConnectionStatus ruang kerja: DescribeWorkspaceAssociations ruang kerja: DescribeWorkspaceSnapshots ruang kerja: DescribeWorkspaceImages ruang kerja: DescribeConnectionAliases |
| [Perbarui akun AD Connector (AD Connector) untuk WorkSpaces Pribadi](https://docs.aws.amazon.com/workspaces/latest/adminguide/connect-account.html) | ruang kerja: DirectoryAccessManagement ds: DescribeDirectories ds: UpdateDirectory EC2: DescribeSubnets EC2: DescribeSecurityGroups ruang kerja: DescribeAccount ruang kerja: DescribeWorkspaceDirectories ruang kerja: DescribeTags ruang kerja: DescribeClientProperties ruang kerja: DescribeConnectClientAddins |
| [Pilih unit organisasi untuk WorkSpaces Personal](https://docs.aws.amazon.com/workspaces/latest/adminguide/select-ou.html) | ruang kerja: DirectoryAccessManagement ds: DescribeDirectories EC2: DescribeSubnets EC2: DescribeSecurityGroups ruang kerja: DescribeAccount ruang kerja: DescribeWorkspaceDirectories ruang kerja: DescribeTags ruang kerja: DescribeClientProperties ruang kerja: DescribeConnectClientAddins ruang kerja: ModifyWorkspaceCreationProperties |
| [Aktifkan akun Anda untuk BYOL](https://docs.aws.amazon.com/workspaces/latest/adminguide/byol-windows-images.html) - Untuk mengonfirmasi pemahaman tentang persyaratan untuk menggunakan BYOL WorkSpaces | ruang kerja: DescribeConsent ruang kerja: UpdateConsent ruang kerja: DescribeAccount ruang kerja: ListAccountLinks ruang kerja: DescribeWorkspaceBundles ruang kerja: DescribeWorkspaceImages ruang kerja: DescribeWorkspaceDirectories |
# Validasi kepatuhan untuk Amazon WorkSpaces
Auditor pihak ketiga menilai keamanan dan kepatuhan Amazon WorkSpaces sebagai bagian dari beberapa program AWS kepatuhan. Program ini mencakup SOC, PCI, FedRAMP, HIPAA, dan lainnya.
Untuk daftar AWS layanan dalam lingkup program kepatuhan tertentu, lihat [AWS Layanan dalam Lingkup oleh AWS Layanan Program Kepatuhan](https://aws.amazon.com/compliance/services-in-scope/) . Untuk informasi umum, lihat [Program Kepatuhan AWS](https://aws.amazon.com/compliance/programs/) .
Anda dapat mengunduh laporan audit pihak ketiga menggunakan AWS Artifact. Untuk informasi selengkapnya, lihat [Mengunduh Laporan di AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Untuk informasi lebih lanjut tentang WorkSpaces dan FedRAMP, lihat. [Konfigurasikan otorisasi FedRAMP atau kepatuhan DoD SRG untuk Pribadi WorkSpaces](fips-encryption.md)
Tanggung jawab kepatuhan Anda saat menggunakan WorkSpaces ditentukan oleh sensitivitas data Anda, tujuan kepatuhan perusahaan Anda, dan hukum dan peraturan yang berlaku. AWS menyediakan sumber daya berikut untuk membantu kepatuhan:
+ [Panduan Quick Start Keamanan dan Kepatuhan](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance) – Panduan deployment ini membahas pertimbangan arsitektur dan menyediakan langkah–langkah untuk melakukan deployment terhadap lingkungan dasar di AWS yang menjadi fokus keamanan dan kepatuhan.
+ [Arsitektur untuk Keamanan dan Kepatuhan HIPAA di Amazon Web Services](https://docs.aws.amazon.com/pdfs/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/architecting-hipaa-security-and-compliance-on-aws.pdf) — Whitepaper ini menjelaskan bagaimana perusahaan dapat menggunakan AWS untuk membuat aplikasi yang sesuai dengan HIPAA.
+ [AWS Sumber Daya AWS](https://aws.amazon.com/compliance/resources/) — Kumpulan buku kerja dan panduan ini mungkin berlaku untuk industri dan lokasi Anda.
+ [Mengevaluasi Sumber Daya dengan Aturan](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) dalam *Panduan AWS Config Pengembang* — AWS Config; menilai seberapa baik konfigurasi sumber daya Anda mematuhi praktik internal, pedoman industri, dan peraturan.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— AWS Layanan ini memberikan pandangan komprehensif tentang keadaan keamanan Anda di dalamnya AWS yang membantu Anda memeriksa kepatuhan Anda terhadap standar industri keamanan dan praktik terbaik.
# Ketahanan di Amazon WorkSpaces
Infrastruktur AWS global dibangun di sekitar AWS Wilayah dan Zona Ketersediaan. Wilayah memberikan beberapa Zona Ketersediaan yang terpisah dan terisolasi secara fisik, yang terkoneksi melalui jaringan latensi rendah, throughput tinggi, dan sangat redundan. Dengan Zona Ketersediaan, Anda dapat merancang serta mengoperasikan aplikasi dan basis data yang secara otomatis melakukan fail over di antara zona tanpa gangguan. Zona Ketersediaan memiliki ketersediaan dan toleransi kesalahan yang lebih baik, dan dapat diskalakan dibandingkan infrastruktur pusat data tunggal atau multi tradisional.
Untuk informasi selengkapnya tentang AWS Wilayah dan Availability Zone, lihat [Infrastruktur AWS Global](https://aws.amazon.com/about-aws/global-infrastructure/).
Amazon WorkSpaces juga menyediakan pengalihan lintas wilayah, fitur yang berfungsi dengan kebijakan perutean failover Sistem Nama Domain (DNS) Anda untuk mengarahkan WorkSpaces pengguna Anda ke alternatif WorkSpaces di AWS Wilayah lain saat primer mereka tidak tersedia. WorkSpaces Lihat informasi yang lebih lengkap di [Pengalihan Lintas Wilayah untuk Pribadi WorkSpaces](cross-region-redirection.md).
# Keamanan Infrastruktur di Amazon WorkSpaces
Sebagai layanan terkelola, Amazon WorkSpaces dilindungi oleh keamanan jaringan AWS global. Untuk informasi tentang layanan AWS keamanan dan cara AWS melindungi infrastruktur, lihat [Keamanan AWS Cloud](https://aws.amazon.com/security/). Untuk mendesain AWS lingkungan Anda menggunakan praktik terbaik untuk keamanan infrastruktur, lihat [Perlindungan Infrastruktur dalam Kerangka Kerja](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) yang * AWS Diarsiteksikan dengan Baik Pilar Keamanan*.
Anda menggunakan panggilan API yang AWS dipublikasikan untuk mengakses WorkSpaces melalui jaringan. Klien harus mendukung hal-hal berikut:
+ Keamanan Lapisan Pengangkutan (TLS). Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
+ Sandi cocok dengan sistem kerahasiaan maju sempurna (perfect forward secrecy, PFS) seperti DHE (Ephemeral Diffie-Hellman) atau ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Sebagian besar sistem modern seperti Java 7 dan versi lebih baru mendukung mode-mode ini.
**Topics**
+ [Isolasi jaringan](network-isolation.md)
+ [Isolasi pada host fisik](physical-isolation.md)
+ [Penjaga Kredensial/Keamanan Berbasis Virtualisasi (VBS)](credential-guard-vbs.md)
+ [Otorisasi pengguna perusahaan](authorization.md)
+ [Buat dan Streaming dari Titik Akhir VPC Antarmuka](creating-streaming-vpc-endpoints.md)
+ [Membuat permintaan Amazon WorkSpaces API melalui titik akhir antarmuka VPC](interface-vpc-endpoint.md)
+ [Membuat kebijakan titik akhir VPC untuk Amazon WorkSpaces](api-private-link-policy.md)
+ [Hubungkan jaringan pribadi Anda ke VPC](notebook-private-link-vpn.md)
# Isolasi jaringan
Virtual Private Cloud (VPC) adalah jaringan virtual di area Anda sendiri yang terisolasi secara logis di AWS Cloud. Anda dapat menerapkan subnet pribadi WorkSpaces di VPC Anda. Untuk informasi selengkapnya, lihat [Konfigurasikan VPC untuk Pribadi WorkSpaces](amazon-workspaces-vpc.md).
Untuk mengizinkan lalu lintas hanya dari rentang alamat tertentu (misalnya, dari jaringan perusahaan Anda), perbarui grup keamanan untuk VPC Anda atau gunakan [Grup kontrol akses IP](amazon-workspaces-ip-access-control-groups.md).
Anda dapat membatasi WorkSpace akses ke perangkat tepercaya dengan sertifikat yang valid. Lihat informasi yang lebih lengkap di [Batasi akses ke perangkat tepercaya untuk Pribadi WorkSpaces](trusted-devices.md).
# Isolasi pada host fisik
Berbeda WorkSpaces pada inang fisik yang sama diisolasi satu sama lain melalui hypervisor. Seolah-olah WorkSpaces berada di host fisik yang terpisah. Ketika a WorkSpace dihapus, memori yang dialokasikan untuk itu digosok (diatur ke nol) oleh hypervisor sebelum dialokasikan ke yang baru. WorkSpace
# Penjaga Kredensial/Keamanan Berbasis Virtualisasi (VBS)
Windows WorkSpaces dapat memanfaatkan Credential Guard dan Virtualization-Based Security (VBS) untuk menyediakan isolasi berbasis perangkat keras dan melindungi kredensyal dalam sistem operasi. Anda dapat menonaktifkan Credential Guard atau VBS melalui pengaturan Kebijakan Grup.
**penting**
Menonaktifkan VBS mengurangi postur keamanan Windows Anda. WorkSpace Hanya nonaktifkan VBS jika diperlukan untuk kinerja atau kebutuhan kompatibilitas tertentu.
**Implikasi keamanan dari menonaktifkan VBS**
+ **Mengurangi perlindungan tingkat kernel** - Kernel OS menjadi lebih rentan terhadap kode berbahaya.
+ **Peningkatan risiko pencurian kredensyal** - Penyerang mungkin lebih mudah mengekstrak kredensyal dari proses lsass.exe.
+ **Pemeriksaan integritas kode yang dinonaktifkan** — Hypervisor-Enforced Code Integrity (HVCI) tidak akan berfungsi, memungkinkan driver yang tidak ditandatangani untuk berjalan dalam mode kernel.
+ **Peningkatan kerentanan terhadap eksploitasi** — Sistem menjadi lebih rentan terhadap serangan yang dapat mengakibatkan kompromi sistem penuh.
+ **Hilangnya fitur keamanan canggih — Fitur** seperti Windows Defender Credential Guard dan System Guard tidak dapat beroperasi sebagaimana dimaksud.
# Otorisasi pengguna perusahaan
Dengan WorkSpaces, direktori dikelola melalui. Directory Service Anda dapat membuat direktori, yang dikelola secara mandiri untuk pengguna. Atau Anda dapat berintegrasi dengan lingkungan Direktori Aktif yang tersedia sehingga pengguna Anda dapat menggunakan kredensialnya saat ini untuk mendapatkan akses tanpa batas ke sumber daya perusahaan. Untuk informasi selengkapnya, lihat [Mengelola direktori untuk Pribadi WorkSpaces](manage-workspaces-directory.md).
Untuk lebih mengontrol akses ke Anda WorkSpaces, gunakan otentikasi multi-faktor. Untuk informasi selengkapnya, lihat [Cara Mengaktifkan Otentikasi Multi-Faktor untuk AWS Layanan](https://aws.amazon.com/blogs/security/how-to-enable-multi-factor-authentication-for-amazon-workspaces-and-amazon-quicksight-by-using-microsoft-ad-and-on-premises-credentials/).
# Buat dan Streaming dari Titik Akhir VPC Antarmuka
Cloud Privat Virtual (VPC) adalah jaringan virtual dalam area Anda yang diisolasi secara logika dalam Amazon Web Services Cloud. Jika Anda menggunakan Amazon Virtual Private Cloud untuk meng-host AWS sumber daya Anda, Anda dapat membuat koneksi pribadi antara VPC dan VPC. WorkSpaces Anda dapat menggunakan koneksi ini untuk memungkinkan WorkSpaces untuk berkomunikasi dengan sumber daya Anda di VPC Anda tanpa melalui internet publik.
Endpoint antarmuka didukung oleh AWSPrivateLink, teknologi yang memungkinkan Anda menyimpan lalu lintas streaming dalam VPC yang Anda tentukan dengan menggunakan alamat IP pribadi. Saat Anda menggunakan VPC dengan terowongan Direct AWS Connect atau AWS Virtual Private Network, Anda dapat menyimpan lalu lintas streaming di dalam jaringan Anda.
Anda dapat menggunakan titik akhir VPC di AWS akun Anda untuk membatasi semua lalu lintas streaming antara VPC Amazon Anda dan ke jaringan. WorkSpaces AWS Setelah Anda membuat titik akhir, konfigurasikan WorkSpaces direktori Anda untuk menggunakannya.
## Prasyarat dan batasan
Sebelum Anda menyiapkan titik akhir VPC WorkSpaces, perhatikan prasyarat dan batasan berikut.
+ Fitur saat ini mendukung IPv4 atau jenis IP rekaman IPv6 DNS. Jenis IP rekaman DNS Dualstack tidak didukung.
+ Anda hanya dapat mengonfigurasi titik akhir VPC yang Akun AWS sama dengan direktori Anda. Titik akhir VPC di lainnya tidak Akun AWS didukung, termasuk titik akhir di bersama. VPCs
+ Fitur saat ini hanya mendukung nama DNS pribadi untuk titik akhir VPC. Nama DNS pribadi untuk titik akhir VPC tidak dapat diselesaikan secara publik.
+ Fitur ini saat ini hanya tersedia untuk WorkSpaces Pribadi. WorkSpaces Pools tidak mendukung titik akhir VPC untuk streaming.
+ Fitur titik akhir VPC tersedia secara eksklusif untuk menggunakan WorkSpaces Amazon DCV. Saat Anda mengonfigurasi titik akhir VPC untuk direktori, pengguna tidak dapat melakukan streaming dari Amazon DCV melalui internet. Namun, Anda dapat mengaktifkan streaming internet untuk PCo IP WorkSpaces di direktori yang sama selama konfigurasi titik akhir VPC.
+ Untuk mempertahankan lalu lintas streaming dalam VPC Anda, gunakan titik akhir VPC streaming. WorkSpaces Klien Anda memerlukan konektivitas internet untuk otentikasi pengguna. Aktifkan akses keluar pada port 443 (UDP dan TCP) untuk lalu lintas otentikasi. Selain itu, Anda harus menambahkan domain dan alamat IP yang diperlukan ke daftar izin Anda berdasarkan metode otentikasi yang Anda pilih. Untuk daftar lengkap domain untuk setiap kategori, lihat [Domain dan alamat IP untuk ditambahkan ke daftar izin Anda](https://docs.aws.amazon.com/workspaces/latest/adminguide/workspaces-port-requirements.html#whitelisted_ports).
+ CAPTCHA
+ Pengaturan Direktori
+ Titik Akhir Otentikasi Kartu Cerdas Pra-sesi, jika Anda menggunakan Kartu Pintar
+ Halaman Masuk Pengguna
+ Broker WS
+ WorkSpaces Titik Akhir untuk SAMP Single Sign-On (SSO)
+ Jaringan yang terhubung dengan perangkat pengguna Anda harus dapat merutekan lalu lintas ke titik akhir VPC.
+ Anda harus memiliki kebijakan izin IAM untuk pengguna IAM atau peran IAM di AWS akun Anda untuk melakukan tindakan API. `ec2:DescribeVpcEndpoints`
+ WorkSpaces streaming titik akhir VPC saat ini tidak mendukung enkripsi FIPS. Jika Anda sudah mengaktifkan enkripsi FIPS untuk direktori, Anda perlu menonaktifkan enkripsi FIPS sebelum mengonfigurasi titik akhir VPC.
+ AWSIntegrasi Global Accelerator (AGA) tidak tersedia saat streaming melalui titik akhir VPC.
+ Ketika titik akhir VPC dikonfigurasi untuk direktori, grup kontrol akses IP yang ditentukan untuk direktori tidak lagi berlaku.
## Menyiapkan titik akhir VPC untuk streaming WorkSpaces
Untuk menyiapkan titik akhir VPC untuk WorkSpaces streaming, selesaikan langkah-langkah berikut:
### Langkah 1: Buat grup keamanan
Pada langkah ini, Anda membuat grup keamanan yang memungkinkan WorkSpaces klien berkomunikasi dengan titik akhir VPC yang akan Anda buat.
1. Di panel navigasi EC2 konsol Amazon, buka **Jaringan & Keamanan**, lalu **Grup Keamanan**.
1. Pilih **Buat grup keamanan**.
1. Di bawah **Detail dasar**, masukkan yang berikut ini:
+ Untuk **nama grup Keamanan** — Masukkan nama unik yang mengidentifikasi grup keamanan.
+ Untuk **Deskripsi** — Masukkan beberapa teks yang menjelaskan tujuan grup keamanan.
+ Untuk **VPC** — Pilih VPC tempat titik akhir VPC Anda berada.
1. Buka **Aturan masuk dan pilih Tambahkan aturan** **untuk membuat aturan** masuk untuk lalu lintas TCP.
1. Masukkan yang berikut ini:
+ Untuk **Jenis** - Pilih TCP Kustom.
+ Untuk **rentang Port** — Masukkan nomor port berikut:`443`,`4195`.
+ Untuk **jenis Sumber** — Pilih Kustom.
+ Untuk **Sumber** - Masukkan rentang CIDR IP pribadi atau Grup IDs Keamanan lain tempat pengguna Anda terhubung ke titik akhir VPC. Pastikan untuk mengizinkan lalu lintas masuk dari sumber IPv4 atau IPv6 alamat.
1. Ulangi langkah 4 dan 5 untuk setiap rentang CIDR atau Grup Keamanan.
1. Buka **Aturan masuk, pilih Tambahkan aturan** **untuk membuat aturan** masuk untuk lalu lintas UDP.
1. Masukkan yang berikut ini:
+ Untuk **Jenis** - Pilih **UDP Kustom**.
+ Untuk **rentang Port** - Masukkan nomor port berikut: 443, 4195.
+ Untuk **jenis Sumber** — Pilih **Kustom**.
+ Untuk **Sumber** - Masukkan rentang CIDR IP pribadi yang sama atau Grup Keamanan yang IDs dimasukkan pada Langkah 5. Pastikan untuk mengizinkan lalu lintas masuk dari sumber IPv4 atau IPv6 alamat.
1. Ulangi langkah 7 dan 8 untuk setiap rentang CIDR atau Grup Keamanan.
1. Pilih **Buat grup keamanan**.
### Langkah 2: Buat titik akhir VPC
Di Amazon VPC, titik akhir VPC memungkinkan Anda menghubungkan VPC ke layanan yang didukung. AWS Dalam contoh ini, Anda mengonfigurasi Amazon VPC sehingga WorkSpaces pengguna Anda dapat melakukan streaming dari. WorkSpaces
1. Buka konsol [Amazon VPC](https://console.aws.amazon.com/vpc/).
1. Di panel navigasi, buka **Endpoints, lalu **Create** Endpoint**.
1. Pilih **Buat Titik Akhir**.
1. Pastikan yang berikut:
+ **Kategori layanan** — Pastikan bahwa **AWSlayanan** dipilih.
+ **Nama Layanan** - Pilih **com.amazonaws. *Region*.dataran tinggi**.
+ **VPC** — Pilih VPC untuk membuat titik akhir antarmuka. Anda dapat memilih VPC yang berbeda dari VPC dengan WorkSpaces sumber daya selama jaringan merutekan lalu lintas ke titik akhir VPC.
+ **Aktifkan Nama DNS Pribadi** - Kotak centang dipilih. Jika pengguna Anda menggunakan proxy jaringan untuk mengakses instans streaming, nonaktifkan caching proxy apa pun pada domain dan nama DNS yang terkait dengan titik akhir pribadi. Nama DNS titik akhir VPC harus diizinkan melalui proxy. Untuk resolusi nama DNS yang sukses, penting untuk menggunakan server DNS pribadi dalam VPC, ini karena server DNS publik tidak akan menyelesaikan nama DNS titik akhir VPC.
+ **Jenis IP rekaman DNS** - Pilih IPv4 atau IPv6. Jenis IP rekaman DNS Dualstack saat ini tidak didukung. Jika Anda memilih Dualstack, Anda tidak akan dapat melakukan streaming dari WorkSpaces menggunakan titik akhir VPC.
+ **Subnet** — Pilih subnet (Availability Zones) untuk membuat titik akhir VPC. Disarankan agar Anda memilih setidaknya dua subnet.
+ **Jenis alamat IP** — Pilih IPv4, IPv6 atau Dualstack tergantung pada apa yang didukung oleh Subnet yang Anda pilih.
+ **Panel grup keamanan** — Pilih grup keamanan yang Anda buat sebelumnya.
1. (Opsional) Di panel **Tag**, Anda dapat membuat satu atau beberapa tag.
1. Pilih **Buat titik akhir**.
Saat titik akhir siap digunakan, nilai di kolom **Status** berubah menjadi **Tersedia**.
### Langkah 3: Konfigurasikan WorkSpaces direktori untuk menggunakan titik akhir VPC
Anda perlu mengonfigurasi WorkSpaces direktori untuk menggunakan titik akhir VPC yang Anda buat untuk streaming.
1. Buka [WorkSpaces konsol](https://console.aws.amazon.com/workspaces/v2/home) di AWS Wilayah yang sama dengan titik akhir VPC.
1. Di panel **Navigasi**, pilih **Direktori**, dan kemudian.
1. Pilih direktori yang ingin Anda gunakan.
1. **Buka bagian **Titik Akhir VPC**, lalu Edit.**
1. Dalam kotak dialog **Edit VPC Endpoint**, di bawah **Streaming Endpoint, pilih titik akhir** VPC yang Anda buat.
1. Secara opsional, Anda dapat mengaktifkan **Izinkan pengguna dengan PCo IP WorkSpaces untuk melakukan streaming dari internet**.
**catatan**
Saat diaktifkan, pengguna Anda dapat melakukan streaming dari PCo IP mereka WorkSpaces melalui internet publik. Jika tidak, PCo IP WorkSpaces dalam direktori akan menjadi tidak dapat dijangkau karena PCo IP WorkSpaces tidak mendukung titik akhir VPC untuk streaming.
1. Pilih **Simpan**.
Lalu lintas untuk sesi streaming baru akan diarahkan melalui titik akhir VPC ini. Namun, lalu lintas untuk sesi streaming saat ini terus dirutekan melalui titik akhir yang ditentukan sebelumnya.
**catatan**
Pengguna dengan DCV WorkSpaces tidak dapat melakukan streaming menggunakan internet publik ketika titik akhir VPC ditentukan.
# Membuat permintaan Amazon WorkSpaces API melalui titik akhir antarmuka VPC
Anda dapat terhubung langsung ke titik akhir Amazon WorkSpaces API melalui [titik akhir antarmuka](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html) di cloud pribadi virtual (VPC) Anda alih-alih terhubung melalui internet. Saat Anda menggunakan titik akhir antarmuka VPC, komunikasi antara VPC dan titik akhir WorkSpaces Amazon API dilakukan sepenuhnya dan aman di dalam jaringan. AWS
**catatan**
Fitur ini hanya dapat digunakan untuk menghubungkan ke titik akhir WorkSpaces API. Untuk terhubung WorkSpaces menggunakan WorkSpaces klien, konektivitas internet diperlukan, seperti yang dijelaskan dalam[Alamat IP dan persyaratan port untuk WorkSpaces Pribadi](workspaces-port-requirements.md).
Titik akhir Amazon WorkSpaces API mendukung titik akhir antarmuka [Amazon Virtual Private Cloud](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Introduction.html) (Amazon VPC) yang didukung oleh. [AWS PrivateLink](https://aws.amazon.com/privatelink/) Setiap titik akhir VPC diwakili oleh satu atau lebih antarmuka [jaringan (juga dikenal sebagai antarmuka](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) jaringan elastis, atau ENIs) dengan alamat IP pribadi di subnet VPC Anda.
Titik akhir antarmuka VPC menghubungkan VPC Anda langsung ke titik akhir Amazon WorkSpaces API tanpa gateway internet, perangkat NAT, koneksi VPN, atau koneksi. Direct Connect Instans di VPC Anda tidak memerlukan alamat IP publik untuk berkomunikasi dengan titik akhir WorkSpaces Amazon API.
Anda dapat membuat titik akhir antarmuka untuk terhubung ke Amazon WorkSpaces dengan perintah Konsol Manajemen AWS or AWS Command Line Interface (AWS CLI). Untuk instruksi, lihat [Membuat Titik Akhir Antarmuka](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html#create-interface-endpoint).
*Setelah Anda membuat titik akhir VPC*, Anda dapat menggunakan contoh perintah CLI berikut yang menggunakan `endpoint-url` parameter untuk menentukan titik akhir antarmuka ke titik akhir Amazon API: WorkSpaces
```
aws workspaces copy-workspace-image --endpoint-url VPC_Endpoint_ID.workspaces.Region.vpce.amazonaws.com
aws workspaces delete-workspace-image --endpoint-url VPC_Endpoint_ID.api.workspaces.Region.vpce.amazonaws.com
aws workspaces describe-workspace-bundles --endpoint-url VPC_Endpoint_ID.workspaces.Region.vpce.amazonaws.com \
--endpoint-name Endpoint_Name \
--body "Endpoint_Body" \
--content-type "Content_Type" \
Output_File
```
Jika Anda mengaktifkan nama host DNS privat untuk VPC endpoint, Anda tidak perlu menentukan titik akhir URL. Nama host DNS Amazon WorkSpaces API yang digunakan CLI dan WorkSpaces Amazon SDK secara default (https://api.workspaces. *Region*.amazonaws.com) menyelesaikan ke titik akhir VPC Anda.
[Titik akhir Amazon WorkSpaces API mendukung titik akhir VPC di AWS semua Wilayah di mana [VPC Amazon](https://docs.aws.amazon.com/general/latest/gr/rande.html#vpc_region) dan Amazon tersedia. WorkSpaces](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services) Amazon WorkSpaces mendukung panggilan ke semua [publiknya APIs](https://docs.aws.amazon.com/workspaces/latest/api/welcome.html) di dalam VPC Anda.
Untuk mempelajari selengkapnya AWS PrivateLink, lihat [AWS PrivateLink dokumentasi](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Introduction.html#what-is-privatelink). Untuk harga VPC endpoints, lihat [Harga VPC](https://aws.amazon.com/vpc/pricing/). Untuk mempelajari selengkapnya tentang VPC dan titik akhir, lihat [Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html).
Untuk melihat daftar titik akhir Amazon WorkSpaces API menurut Wilayah, lihat Titik [Akhir WorkSpaces API](workspaces-port-requirements.md#workspaces_api_endpoints).
# Membuat kebijakan titik akhir VPC untuk Amazon WorkSpaces
Anda dapat membuat kebijakan untuk titik akhir VPC Amazon untuk Amazon WorkSpaces untuk menentukan hal berikut:
+ Prinsipal yang dapat melakukan tindakan.
+ Tindakan yang dapat dilakukan.
+ Sumber daya yang menjadi target tindakan.
Untuk informasi selengkapnya, lihat [Mengontrol Akses ke Layanan dengan VPC Endpoint](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) dalam *Panduan Pengguna Amazon VPC*.
**catatan**
Kebijakan titik akhir VPC tidak didukung untuk titik akhir Amazon Federal Information Processing Standard (FIPS). WorkSpaces
Contoh kebijakan titik akhir VPC berikut menetapkan bahwa semua pengguna yang memiliki akses ke titik akhir antarmuka VPC diizinkan untuk memanggil titik akhir yang dihosting Amazon bernama. WorkSpaces `ws-f9abcdefg`
```
{
"Statement": [
{
"Action": "workspaces:*",
"Effect": "Allow",
"Resource": "arn:aws:workspaces:us-west-2:1234567891011:workspace/ws-f9abcdefg",
"Principal": "*"
}
]
}
```
Dalam contoh ini, tindakan berikut ditolak:
+ Memanggil titik akhir yang WorkSpaces dihosting Amazon selain. `ws-f9abcdefg`
+ Melakukan tindakan pada sumber daya apa pun selain yang ditentukan (WorkSpace ID:`ws-f9abcdefg`).
**catatan**
Dalam contoh ini, pengguna masih dapat mengambil tindakan Amazon WorkSpaces API lainnya dari luar VPC. Untuk membatasi panggilan API ke panggilan dari dalam VPC, [Identitas dan manajemen akses untuk WorkSpaces](workspaces-access-control.md) lihat informasi tentang penggunaan kebijakan berbasis identitas untuk mengontrol akses ke titik akhir Amazon API. WorkSpaces
# Hubungkan jaringan pribadi Anda ke VPC
Untuk memanggil Amazon WorkSpaces API melalui VPC Anda, Anda harus terhubung dari instance yang ada di dalam VPC, atau menghubungkan jaringan pribadi Anda ke VPC Anda dengan menggunakan () atau. AWS Virtual Private Network Site-to-Site VPN Direct Connect Untuk informasi selengkapnya, lihat [Koneksi VPN](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html) di *Panduan Pengguna Amazon Virtual Private Cloud*. Untuk selengkapnya AWS Direct Connect, lihat [Membuat Sambungan](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-connection.html) di *Panduan Direct Connect Pengguna*.
# Perbarui manajemen di WorkSpaces
Kami menyarankan Anda secara teratur menambal, memperbarui, dan mengamankan sistem operasi dan aplikasi Anda WorkSpaces. Anda dapat mengonfigurasi WorkSpaces untuk diperbarui WorkSpaces selama jendela pemeliharaan rutin atau Anda dapat memperbaruinya sendiri. Untuk informasi selengkapnya, lihat [Pemeliharaan dalam WorkSpaces Pribadi](workspace-maintenance.md).
Untuk aplikasi di Anda WorkSpaces, Anda dapat menggunakan layanan pembaruan otomatis yang disediakan atau mengikuti rekomendasi untuk menginstal pembaruan yang disediakan oleh vendor aplikasi.