Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Identitas dan manajemen akses untuk WorkSpaces
Secara default, pengguna IAM tidak memiliki izin untuk WorkSpaces sumber daya dan operasi. Untuk mengizinkan pengguna IAM mengelola WorkSpaces sumber daya, Anda harus membuat kebijakan IAM yang secara eksplisit memberi mereka izin, dan melampirkan kebijakan tersebut ke pengguna IAM atau grup yang memerlukan izin tersebut.
**catatan**
Amazon WorkSpaces tidak mendukung penyediaan kredensional IAM ke dalam WorkSpace (seperti dengan profil instance).
Untuk memberikan akses dan menambahkan izin bagi pengguna, grup, atau peran Anda:
+ Pengguna dan grup di AWS IAM Identity Center:
Buat rangkaian izin. Ikuti instruksi di [Buat rangkaian izin](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) dalam *Panduan Pengguna AWS IAM Identity Center *.
+ Pengguna yang dikelola di IAM melalui penyedia identitas:
Buat peran untuk federasi identitas. Ikuti instruksi dalam [Buat peran untuk penyedia identitas pihak ketiga (federasi)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) dalam *Panduan Pengguna IAM*.
+ Pengguna IAM:
+ Buat peran yang dapat diambil pengguna Anda. Ikuti instruksi dalam [Buat peran untuk pengguna IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) dalam *Panduan Pengguna IAM*.
+ (Tidak disarankan) Lampirkan kebijakan langsung ke pengguna atau tambahkan pengguna ke grup pengguna. Ikuti petunjuk dalam [Menambahkan izin ke pengguna (konsol)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) dalam *Panduan Pengguna IAM*.
Berikut ini adalah sumber daya tambahan untuk IAM:
+ Untuk informasi selengkapnya tentang kebijakan IAM, lihat [Izin dan Kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dalam *Panduan Pengguna IAM*.
+ Untuk informasi selengkapnya tentang IAM, lihat [Identity and Access Management (IAM)](https://aws.amazon.com/iam) di [https://docs.aws.amazon.com/IAM/latest/UserGuide/](https://docs.aws.amazon.com/IAM/latest/UserGuide/).
+ Untuk informasi selengkapnya tentang kunci konteks sumber daya, tindakan, dan kondisi WorkSpaces khusus untuk digunakan dalam kebijakan izin IAM, lihat [Tindakan, Sumber Daya, dan Kunci Kondisi untuk Amazon WorkSpaces di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonworkspaces.html) Pengguna *IAM*.
+ Untuk alat yang membantu Anda membuat kebijakan IAM, lihat [Generator AWS Kebijakan](https://aws.amazon.com/blogs/aws/aws-policy-generator/). Anda juga dapat menggunakan [Simulator Kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UsingPolicySimulatorGuide/) untuk menguji apakah kebijakan mengizinkan atau menolak permintaan khusus ke AWS.
**Topics**
+ [Contoh kebijakan](#workspaces-example-iam-policies)
+ [Tentukan WorkSpaces sumber daya dalam kebijakan IAM](#wsp_iam_resource)
+ [Buat ruang kerja\$1 DefaultRole Peran](#create-default-role)
+ [Buat peran AmazonWorkSpaces PCAAccess layanan](#create-pca-access-role)
+ [AWS kebijakan terkelola untuk WorkSpaces](managed-policies.md)
+ [Akses ke WorkSpaces dan skrip pada instans streaming](using-iam-roles-to-grant-permissions-to-applications-scripts-streaming-instances.md)
+ [Referensi izin operasi WorkSpaces Konsol Amazon](wsp-console-permissions-ref.md)
## Contoh kebijakan
Contoh berikut menunjukkan pernyataan kebijakan yang dapat Anda gunakan untuk mengontrol izin yang dimiliki pengguna IAM ke Amazon. WorkSpaces
### Contoh 1: Berikan akses untuk melakukan tugas WorkSpaces pribadi dan kumpulan
Pernyataan kebijakan berikut memberikan izin kepada pengguna IAM untuk melakukan tugas WorkSpaces pribadi dan kumpulan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:*",
"workspaces:*",
"application-autoscaling:DeleteScalingPolicy",
"application-autoscaling:DeleteScheduledAction",
"application-autoscaling:DeregisterScalableTarget",
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"application-autoscaling:PutScalingPolicy",
"application-autoscaling:PutScheduledAction",
"application-autoscaling:RegisterScalableTarget",
"cloudwatch:DeleteAlarms",
"cloudwatch:DescribeAlarms",
"cloudwatch:PutMetricAlarm",
"ec2:AssociateRouteTable",
"ec2:AttachInternetGateway",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateInternetGateway",
"ec2:CreateNetworkInterface",
"ec2:CreateRoute",
"ec2:CreateRouteTable",
"ec2:CreateSecurityGroup",
"ec2:CreateSubnet",
"ec2:CreateTags",
"ec2:CreateVpc",
"ec2:DeleteNetworkInterface",
"ec2:DeleteSecurityGroup",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeInternetGateways",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"iam:AttachRolePolicy",
"iam:CreatePolicy",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:PutRolePolicy",
"kms:ListAliases",
"kms:ListKeys",
"secretsmanager:ListSecrets",
"tag:GetResources",
"sso-directory:SearchUsers",
"sso:CreateApplication",
"sso:DeleteApplication",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:GetApplicationGrant",
"sso:ListInstances",
"sso:PutApplicationAssignmentConfiguration",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "workspaces.amazonaws.com"
}
}
}
]
}
```
------
### Contoh 2: Berikan akses untuk melakukan tugas-tugas WorkSpaces Pribadi
Pernyataan kebijakan berikut memberikan izin kepada pengguna IAM untuk melakukan semua tugas WorkSpaces Pribadi.
Meskipun Amazon WorkSpaces sepenuhnya mendukung `Action` dan `Resource` elemen saat menggunakan API dan alat baris perintah, untuk menggunakan Amazon WorkSpaces dari Konsol Manajemen AWS, pengguna IAM harus memiliki izin untuk tindakan dan sumber daya berikut:
+ Tindakan: `"ds:*"`
+ Sumber Daya: `"Resource": "*"`
Contoh kebijakan berikut menunjukkan cara mengizinkan pengguna IAM untuk menggunakan Amazon WorkSpaces dari. Konsol Manajemen AWS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"workspaces:*",
"ds:*",
"iam:GetRole",
"iam:CreateRole",
"iam:PutRolePolicy",
"iam:CreatePolicy",
"iam:AttachRolePolicy",
"iam:ListRoles",
"kms:ListAliases",
"kms:ListKeys",
"ec2:CreateVpc",
"ec2:CreateSubnet",
"ec2:CreateNetworkInterface",
"ec2:CreateInternetGateway",
"ec2:CreateRouteTable",
"ec2:CreateRoute",
"ec2:CreateTags",
"ec2:CreateSecurityGroup",
"ec2:DescribeInternetGateways",
"ec2:DescribeSecurityGroups",
"ec2:DescribeRouteTables",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeAvailabilityZones",
"ec2:AttachInternetGateway",
"ec2:AssociateRouteTable",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:DeleteSecurityGroup",
"ec2:DeleteNetworkInterface",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"secretsmanager:ListSecrets",
"sso-directory:SearchUsers",
"sso:CreateApplication",
"sso:DeleteApplication",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:GetApplicationGrant",
"sso:ListInstances",
"sso:PutApplicationAssignmentConfiguration",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "workspaces.amazonaws.com"
}
}
}
]
}
```
------
### Contoh 3: Berikan akses untuk melakukan tugas WorkSpaces Pools
Pernyataan kebijakan berikut memberikan izin kepada pengguna IAM untuk melakukan semua tugas WorkSpaces Pool.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"workspaces:*",
"application-autoscaling:DeleteScalingPolicy",
"application-autoscaling:DeleteScheduledAction",
"application-autoscaling:DeregisterScalableTarget",
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"application-autoscaling:PutScalingPolicy",
"application-autoscaling:PutScheduledAction",
"application-autoscaling:RegisterScalableTarget",
"cloudwatch:DeleteAlarms",
"cloudwatch:DescribeAlarms",
"cloudwatch:PutMetricAlarm",
"ec2:CreateSecurityGroup",
"ec2:CreateTags",
"ec2:DescribeInternetGateways",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"iam:AttachRolePolicy",
"iam:CreatePolicy",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:PutRolePolicy",
"secretsmanager:ListSecrets",
"tag:GetResources"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "workspaces.amazonaws.com"
}
}
},
{
"Action": "iam:CreateServiceLinkedRole",
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/aws-service-role/workspaces.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_WorkSpacesPool",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "workspaces.application-autoscaling.amazonaws.com"
}
}
}
]
}
```
------
### Contoh 4: Lakukan semua WorkSpaces tugas untuk BYOL WorkSpaces
Pernyataan kebijakan berikut memberikan izin kepada pengguna IAM untuk melakukan semua WorkSpaces tugas, termasuk tugas Amazon EC2 yang diperlukan untuk membuat Bring Your Own License (BYOL). WorkSpaces
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:*",
"workspaces:*",
"ec2:AssociateRouteTable",
"ec2:AttachInternetGateway",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateInternetGateway",
"ec2:CreateNetworkInterface",
"ec2:CreateRoute",
"ec2:CreateRouteTable",
"ec2:CreateSecurityGroup",
"ec2:CreateSubnet",
"ec2:CreateTags",
"ec2:CreateVpc",
"ec2:DeleteNetworkInterface",
"ec2:DeleteSecurityGroup",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeImages",
"ec2:DescribeInternetGateways",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:ModifyImageAttribute",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"iam:CreateRole",
"iam:GetRole",
"iam:PutRolePolicy",
"kms:ListAliases",
"kms:ListKeys"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "workspaces.amazonaws.com"
}
}
}
]
}
```
------
## Tentukan WorkSpaces sumber daya dalam kebijakan IAM
Untuk menentukan WorkSpaces sumber daya dalam `Resource` elemen pernyataan kebijakan, gunakan Amazon Resource Name (ARN) sumber daya. Anda mengontrol akses ke WorkSpaces sumber daya dengan mengizinkan atau menolak izin untuk menggunakan tindakan API yang ditentukan dalam `Action` elemen pernyataan kebijakan IAM Anda. WorkSpaces mendefinisikan ARNs untuk WorkSpaces, bundel, grup IP, dan direktori.
### WorkSpace ARN
WorkSpace ARN memiliki sintaks yang ditunjukkan dalam contoh berikut.
```
arn:aws:workspaces:region:account_id:workspace/workspace_identifier
```
*region*
Wilayah tempat WorkSpace berada (misalnya,`us-east-1`).
*account\$1id*
ID AWS akun, tanpa tanda hubung (misalnya,`123456789012`).
*workspace\$1identifier*
ID dari WorkSpace (misalnya,`ws-a1bcd2efg`).
Berikut ini adalah format `Resource` elemen pernyataan kebijakan yang mengidentifikasi spesifik WorkSpace.
```
"Resource": "arn:aws:workspaces:region:account_id:workspace/workspace_identifier"
```
Anda dapat menggunakan `*` wildcard untuk menentukan semua WorkSpaces yang dimiliki akun tertentu di Wilayah tertentu.
### WorkSpace kolam ARN
Sebuah WorkSpace kolam ARN memiliki sintaks yang ditunjukkan dalam contoh berikut.
```
arn:aws:workspaces:region:account_id:workspacespool/workspacespool_identifier
```
*region*
Wilayah tempat WorkSpace berada (misalnya,`us-east-1`).
*account\$1id*
ID AWS akun, tanpa tanda hubung (misalnya,`123456789012`).
*workspacespool\$1identifier*
ID WorkSpace kolam (misalnya,`ws-a1bcd2efg`).
Berikut ini adalah format `Resource` elemen pernyataan kebijakan yang mengidentifikasi spesifik WorkSpace.
```
"Resource": "arn:aws:workspaces:region:account_id:workspacespool/workspacespool_identifier"
```
Anda dapat menggunakan `*` wildcard untuk menentukan semua WorkSpaces yang dimiliki akun tertentu di Wilayah tertentu.
### Sertifikat ARN
Sebuah WorkSpace sertifikat ARN memiliki sintaks yang ditunjukkan dalam contoh berikut.
```
arn:aws:workspaces:region:account_id:workspacecertificate/workspacecertificateidentifier
```
*region*
Wilayah tempat WorkSpace berada (misalnya,`us-east-1`).
*account\$1id*
ID AWS akun, tanpa tanda hubung (misalnya,`123456789012`).
*workspacecertificate\$1identifier*
ID WorkSpace sertifikat (misalnya,`ws-a1bcd2efg`).
Berikut ini adalah format `Resource` elemen pernyataan kebijakan yang mengidentifikasi WorkSpace sertifikat tertentu.
```
"Resource": "arn:aws:workspaces:region:account_id:workspacecertificate/workspacecertificate_identifier"
```
Anda dapat menggunakan `*` wildcard untuk menentukan semua WorkSpaces yang dimiliki akun tertentu di Wilayah tertentu.
### ARN citra
Sebuah WorkSpace gambar ARN memiliki sintaks yang ditunjukkan dalam contoh berikut.
```
arn:aws:workspaces:region:account_id:workspaceimage/image_identifier
```
*region*
Wilayah tempat WorkSpace gambar berada (misalnya,`us-east-1`).
*account\$1id*
ID AWS akun, tanpa tanda hubung (misalnya,`123456789012`).
*bundle\$1identifier*
ID WorkSpace gambar (misalnya,`wsi-a1bcd2efg`).
Berikut ini adalah format elemen `Resource` pernyataan kebijakan yang mengidentifikasi citra tertentu.
```
"Resource": "arn:aws:workspaces:region:account_id:workspaceimage/image_identifier"
```
Anda dapat menggunakan wildcard `*` untuk menentukan semua citra milik akun tertentu dalam Wilayah tertentu.
### ARN Paket
ARN Paket memiliki sintaksis yang ditunjukkan dalam contoh berikut.
```
arn:aws:workspaces:region:account_id:workspacebundle/bundle_identifier
```
*region*
Wilayah tempat WorkSpace berada (misalnya,`us-east-1`).
*account\$1id*
ID AWS akun, tanpa tanda hubung (misalnya,`123456789012`).
*bundle\$1identifier*
ID WorkSpace bundel (misalnya,`wsb-a1bcd2efg`).
Berikut ini adalah format elemen `Resource` pernyataan kebijakan yang mengidentifikasi paket tertentu.
```
"Resource": "arn:aws:workspaces:region:account_id:workspacebundle/bundle_identifier"
```
Anda dapat menggunakan wildcard `*` untuk menentukan semua paket milik akun tertentu dalam Wilayah tertentu.
### ARN Grup IP
ARN Grup IP memiliki sintaksis yang ditunjukkan dalam contoh berikut.
```
arn:aws:workspaces:region:account_id:workspaceipgroup/ipgroup_identifier
```
*region*
Wilayah tempat WorkSpace berada (misalnya,`us-east-1`).
*account\$1id*
ID AWS akun, tanpa tanda hubung (misalnya,`123456789012`).
*ipgroup\$1identifier*
ID dari grup IP (misalnya, `wsipg-a1bcd2efg`).
Berikut ini adalah format elemen `Resource` pernyataan kebijakan yang mengidentifikasi grup IP tertentu.
```
"Resource": "arn:aws:workspaces:region:account_id:workspaceipgroup/ipgroup_identifier"
```
Anda dapat menggunakan wildcard `*` untuk menentukan semua grup IP milik akun tertentu dalam Wilayah tertentu.
### ARN Direktori
Sebuah direktori ARN memiliki sintaksis yang ditunjukkan dalam contoh berikut.
```
arn:aws:workspaces:region:account_id:directory/directory_identifier
```
*region*
Wilayah tempat WorkSpace berada (misalnya,`us-east-1`).
*account\$1id*
ID AWS akun, tanpa tanda hubung (misalnya,`123456789012`).
*directory\$1identifier*
ID direktori (misalnya, `d-12345a67b8`).
Berikut ini adalah format elemen `Resource` pernyataan kebijakan yang mengidentifikasi direktori tertentu.
```
"Resource": "arn:aws:workspaces:region:account_id:directory/directory_identifier"
```
Anda dapat menggunakan wildcard `*` untuk menentukan semua direktori milik akun tertentu dalam Wilayah tertentu.
### ARN alias hubungan
ARN alias hubungan memiliki sintaksis yang ditunjukkan dalam contoh berikut.
```
arn:aws:workspaces:region:account_id:connectionalias/connectionalias_identifier
```
*region*
Wilayah tempat hubungan alias berada (misalnya, `us-east-1`).
*account\$1id*
ID AWS akun, tanpa tanda hubung (misalnya,`123456789012`).
*connectionalias\$1identifier*
ID dari alias hubungan (misalnya, `wsca-12345a67b8`).
Berikut ini adalah format elemen `Resource` pernyataan kebijakan yang mengidentifikasi alias hubungan tertentu.
```
"Resource": "arn:aws:workspaces:region:account_id:connectionalias/connectionalias_identifier"
```
Anda dapat menggunakan wildcard `*` untuk menentukan semua alias hubungan milik akun tertentu dalam Wilayah tertentu.
### Tindakan API yang tidak memiliki dukungan untuk izin di tingkat sumber daya
Anda tidak dapat menentukan sumber daya ARN dengan tindakan API berikut:
+ `AssociateIpGroups`
+ `CreateIpGroup`
+ `CreateTags`
+ `DeleteTags`
+ `DeleteWorkspaceImage`
+ `DescribeAccount`
+ `DescribeAccountModifications`
+ `DescribeIpGroups`
+ `DescribeTags`
+ `DescribeWorkspaceDirectories`
+ `DescribeWorkspaceImages`
+ `DescribeWorkspaces`
+ `DescribeWorkspacesConnectionStatus`
+ `DisassociateIpGroups`
+ `ImportWorkspaceImage`
+ `ListAvailableManagementCidrRanges`
+ `ModifyAccount`
Untuk tindakan API yang tidak mendukung izin tingkat sumber daya, Anda harus menetapkan pernyataan sumber daya yang ditunjukkan dalam contoh berikut.
```
"Resource": "*"
```
### Tindakan API yang tidak mendukung pembatasan tingkat akun pada sumber daya bersama
Untuk tindakan API berikut, Anda tidak dapat menentukan ID akun di ARN sumber daya saat sumber daya tidak dimiliki oleh akun:
+ `AssociateConnectionAlias`
+ `CopyWorkspaceImage`
+ `DisassociateConnectionAlias`
Untuk tindakan API ini, Anda dapat menentukan ID akun di ARN sumber daya hanya ketika akun memiliki sumber daya untuk ditindaklanjuti. Bila akun tidak memiliki sumber daya, Anda harus menentukan `*` untuk ID akun, seperti yang ditunjukkan dalam contoh berikut.
```
"arn:aws:workspaces:region:*:resource_type/resource_identifier"
```
## Buat ruang kerja\$1 DefaultRole Peran
Sebelum Anda dapat mendaftarkan direktori menggunakan API, Anda harus memverifikasi bahwa peran bernama `workspaces_DefaultRole` ada. Peran ini dibuat oleh Pengaturan Cepat atau jika Anda meluncurkan WorkSpace menggunakan Konsol Manajemen AWS, dan itu memberikan WorkSpaces izin Amazon untuk mengakses AWS sumber daya tertentu atas nama Anda. Jika peran ini tidak ada, Anda dapat membuatnya menggunakan prosedur berikut.
**Untuk membuat peran ruang kerja\$1 DefaultRole**
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Pada panel navigasi di sebelah kiri, pilih **Peran**.
1. Pilih **Buat peran**.
1. Di **Pilih tipe entitas terpercaya**, pilih **Akun AWS lain**.
1. Untuk **ID Akun**, masukkan ID akun Anda tanpa tanda hubung atau spasi.
1. Untuk **Opsi**, jangan tentukan Autentikasi Multi-Faktor (MFA).
1. Pilih **Selanjutnya: Izin**.
1. Pada halaman **Lampirkan kebijakan izin**, pilih kebijakan AWS terkelola **AmazonWorkSpacesServiceAccess**AmazonWorkSpacesSelfServiceAccess****, dan **AmazonWorkSpacesPoolServiceAccess**. Untuk informasi selengkapnya tentang kebijakan terkelola ini, lihat[AWS kebijakan terkelola untuk WorkSpaces](managed-policies.md).
1. Di bawah **Setel batas izin**, sebaiknya Anda tidak menggunakan batas izin karena potensi konflik dengan kebijakan yang dilampirkan pada peran ini. Konflik tersebut dapat memblokir izin tertentu yang diperlukan untuk peran tersebut.
1. Pilih **Selanjutnya: Tanda**.
1. Pada halaman **Tambahkan tanda (opsional)**, tambahkan tanda jika diperlukan.
1. Pilih **Selanjutnya: Tinjau**.
1. Pada halaman **Tinjau**, untuk **Nama peran**, masukkan **workspaces\$1DefaultRole**.
1. (Opsional) Untuk **Deskripsi peran**, masukkan deskripsi.
1. Pilih **Buat Peran**.
1. Pada halaman **Ringkasan** untuk DefaultRole peran workspaces\$1, pilih tab **Trust** relationship.
1. Pilih tab **Hubungan Kepercayaan**, pilih **Edit Hubungan Kepercayaan**.
1. Pada halaman **Edit Hubungan kepercayaan**, gantikan pernyataan kebijakan yang ada dengan pernyataan berikut.
```
{
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "workspaces.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
1. Pilih **Perbarui Kebijakan Kepercayaan**.
## Buat peran AmazonWorkSpaces PCAAccess layanan
Sebelum pengguna dapat masuk menggunakan otentikasi berbasis sertifikat, Anda harus memverifikasi bahwa peran bernama ada. `AmazonWorkSpacesPCAAccess` Peran ini dibuat saat Anda mengaktifkan otentikasi berbasis sertifikat pada Direktori menggunakan Konsol Manajemen AWS, dan memberikan WorkSpaces izin Amazon untuk mengakses AWS Private CA sumber daya atas nama Anda. Jika peran ini tidak ada karena Anda tidak menggunakan konsol untuk mengelola otentikasi berbasis sertifikat, Anda dapat membuatnya menggunakan prosedur berikut.
**Untuk membuat peran AmazonWorkSpaces PCAAccess layanan menggunakan AWS CLI**
1. Buat file JSON bernama `AmazonWorkSpacesPCAAccess.json` dengan teks berikut.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "prod.euc.ecm.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Sesuaikan `AmazonWorkSpacesPCAAccess.json` jalur sesuai kebutuhan dan jalankan AWS CLI perintah berikut untuk membuat peran layanan dan melampirkan kebijakan [AmazonWorkspacesPCAAccess](managed-policies.md#workspaces-pca-access)terkelola.
```
aws iam create-role --path /service-role/ --role-name AmazonWorkSpacesPCAAccess --assume-role-policy-document file://AmazonWorkSpacesPCAAccess.json
```
```
aws iam attach-role-policy —role-name AmazonWorkSpacesPCAAccess —policy-arn arn:aws:iam::aws:policy/AmazonWorkspacesPCAAccess
```
# AWS kebijakan terkelola untuk WorkSpaces
Menggunakan kebijakan AWS terkelola membuat menambahkan izin ke pengguna, grup, dan peran lebih mudah daripada menulis kebijakan sendiri. Dibutuhkan waktu dan keahlian untuk membuat [kebijakan terkelola pelanggan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) yang hanya memberi tim Anda izin yang mereka butuhkan. Gunakan kebijakan AWS terkelola untuk memulai dengan cepat. Kebijakan ini mencakup kasus penggunaan umum dan tersedia di AWS akun Anda. Untuk informasi selengkapnya tentang kebijakan AWS [AWS terkelola, lihat kebijakan terkelola](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) di *Panduan Pengguna IAM*.
AWS layanan memelihara dan memperbarui kebijakan AWS terkelola. Anda tidak dapat mengubah izin dalam kebijakan AWS terkelola. Layanan terkadang dapat menambahkan izin tambahan ke kebijakan AWS terkelola untuk mendukung fitur baru. Jenis pembaruan ini akan memengaruhi semua identitas (pengguna, grup, dan peran) di mana kebijakan tersebut dilampirkan. Layanan kemungkinan besar akan memperbarui kebijakan AWS terkelola saat fitur baru diluncurkan atau saat operasi baru tersedia. Layanan tidak menghapus izin dari kebijakan AWS terkelola, sehingga pembaruan kebijakan tidak akan merusak izin yang ada.
Selain itu, AWS mendukung kebijakan terkelola untuk fungsi pekerjaan yang mencakup beberapa layanan. Misalnya, kebijakan `ReadOnlyAccess` AWS terkelola menyediakan akses hanya-baca ke semua AWS layanan dan sumber daya. Saat layanan meluncurkan fitur baru, AWS menambahkan izin hanya-baca untuk operasi dan sumber daya baru. Untuk melihat daftar dan deskripsi dari kebijakan fungsi tugas, lihat [kebijakan yang dikelola AWS untuk fungsi tugas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) di *Panduan Pengguna IAM*.
## AWS kebijakan terkelola: AmazonWorkSpacesAdmin
**catatan**
Izin yang tercantum hanya untuk SDK dan tidak akan berfungsi untuk Konsol. Konsol memerlukan izin tambahan yang tercantum dalam referensi [izin operasi WorkSpaces Konsol Amazon](wsp-console-permissions-ref.md).
Kebijakan ini menyediakan akses ke tindakan WorkSpaces administratif Amazon. Ini memberikan izin berikut:
+ `workspaces`- Memungkinkan akses untuk melakukan tindakan administratif pada sumber daya WorkSpaces Pribadi dan WorkSpaces Kolam.
+ `kms`- Memungkinkan akses ke daftar dan menggambarkan kunci KMS, serta daftar alias.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonWorkSpacesAdmin",
"Effect": "Allow",
"Action": [
"kms:DescribeKey",
"kms:ListAliases",
"kms:ListKeys",
"workspaces:CreateTags",
"workspaces:CreateWorkspaceImage",
"workspaces:CreateWorkspaces",
"workspaces:CreateWorkspacesPool",
"workspaces:CreateStandbyWorkspaces",
"workspaces:DeleteTags",
"workspaces:DeregisterWorkspaceDirectory",
"workspaces:DescribeTags",
"workspaces:DescribeWorkspaceBundles",
"workspaces:DescribeWorkspaceDirectories",
"workspaces:DescribeWorkspaces",
"workspaces:DescribeWorkspacesPools",
"workspaces:DescribeWorkspacesPoolSessions",
"workspaces:DescribeWorkspacesConnectionStatus",
"workspaces:ModifyCertificateBasedAuthProperties",
"workspaces:ModifySamlProperties",
"workspaces:ModifyStreamingProperties",
"workspaces:ModifyWorkspaceCreationProperties",
"workspaces:ModifyWorkspaceProperties",
"workspaces:RebootWorkspaces",
"workspaces:RebuildWorkspaces",
"workspaces:RegisterWorkspaceDirectory",
"workspaces:RestoreWorkspace",
"workspaces:StartWorkspaces",
"workspaces:StartWorkspacesPool",
"workspaces:StopWorkspaces",
"workspaces:StopWorkspacesPool",
"workspaces:TerminateWorkspaces",
"workspaces:TerminateWorkspacesPool",
"workspaces:TerminateWorkspacesPoolSession",
"workspaces:UpdateWorkspacesPool"
],
"Resource": "*"
}
]
}
```
------
## AWS kebijakan terkelola: AmazonWorkspaces PCAAccess
Kebijakan terkelola ini menyediakan akses ke sumber daya AWS Certificate Manager Private Certificate Authority (Private CA) di AWS akun Anda untuk otentikasi berbasis sertifikat. Ini termasuk dalam AmazonWorkSpaces PCAAccess peran, dan memberikan izin berikut:
+ `acm-pca`- Memungkinkan akses ke AWS Private CA untuk mengelola otentikasi berbasis sertifikat.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"acm-pca:IssueCertificate",
"acm-pca:GetCertificate",
"acm-pca:DescribeCertificateAuthority"
],
"Resource": "arn:*:acm-pca:*:*:*",
"Condition": {
"StringLike": {
"aws:ResourceTag/euc-private-ca": "*"
}
}
}
]
}
```
------
## AWS kebijakan terkelola: AmazonWorkSpacesSelfServiceAccess
Kebijakan ini menyediakan akses ke WorkSpaces layanan Amazon untuk melakukan tindakan WorkSpaces layanan mandiri yang dimulai oleh pengguna. Ini termasuk dalam `workspaces_DefaultRole` peran, dan memberikan izin berikut:
+ `workspaces`- Memungkinkan akses ke kemampuan WorkSpaces manajemen swalayan untuk pengguna.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"workspaces:RebootWorkspaces",
"workspaces:RebuildWorkspaces",
"workspaces:ModifyWorkspaceProperties"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## AWS kebijakan terkelola: AmazonWorkSpacesServiceAccess
Kebijakan ini menyediakan akses akun pelanggan ke WorkSpaces layanan Amazon untuk meluncurkan file WorkSpace. Ini termasuk dalam `workspaces_DefaultRole` peran, dan memberikan izin berikut:
+ `ec2`- Memungkinkan akses untuk mengelola sumber daya Amazon EC2 yang terkait dengan WorkSpace, seperti antarmuka jaringan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface",
"ec2:DescribeNetworkInterfaces"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## AWS kebijakan terkelola: AmazonWorkSpacesPoolServiceAccess
Kebijakan ini digunakan di ruang kerja\$1DefaultRole, yang WorkSpaces digunakan untuk mengakses sumber daya yang diperlukan di AWS akun pelanggan untuk Pools. WorkSpaces Untuk mengetahui informasi selengkapnya, lihat [Buat ruang kerja\$1 DefaultRole Peran](workspaces-access-control.md#create-default-role). Ini memberikan izin berikut:
+ `ec2`- Memungkinkan akses untuk mengelola sumber daya Amazon EC2 yang terkait dengan WorkSpaces Pool, seperti subnet VPCs, zona ketersediaan, grup keamanan, dan tabel rute.
+ `s3`- Memungkinkan akses untuk melakukan tindakan pada bucket Amazon S3 yang diperlukan untuk log, pengaturan aplikasi, dan fitur Home Folder.
------
#### [ Commercial Wilayah AWS ]
Kebijakan berikut JSON berlaku untuk iklan Wilayah AWS.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ProvisioningWorkSpacesPoolPermissions",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSecurityGroups",
"ec2:DescribeRouteTables",
"s3:ListAllMyBuckets"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "WorkSpacesPoolS3Permissions",
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:ListBucket",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetObjectVersion",
"s3:DeleteObjectVersion",
"s3:GetBucketPolicy",
"s3:PutBucketPolicy",
"s3:PutEncryptionConfiguration"
],
"Resource": [
"arn:aws:s3:::wspool-logs-*",
"arn:aws:s3:::wspool-app-settings-*",
"arn:aws:s3:::wspool-home-folder-*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
------
#### [ AWS GovCloud (US) Regions ]
Kebijakan berikut JSON berlaku untuk iklan AWS GovCloud (US) Regions.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ProvisioningWorkSpacesPoolPermissions",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSecurityGroups",
"ec2:DescribeRouteTables",
"s3:ListAllMyBuckets"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "WorkSpacesPoolS3Permissions",
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:ListBucket",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetObjectVersion",
"s3:DeleteObjectVersion",
"s3:GetBucketPolicy",
"s3:PutBucketPolicy",
"s3:PutEncryptionConfiguration"
],
"Resource": [
"arn:aws-us-gov:s3:::wspool-logs-*",
"arn:aws-us-gov:s3:::wspool-app-settings-*",
"arn:aws-us-gov:s3:::wspool-home-folder-*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
------
## WorkSpaces pembaruan kebijakan AWS terkelola
Lihat detail tentang pembaruan kebijakan AWS terkelola WorkSpaces sejak layanan ini mulai melacak perubahan ini.
| Ubah | Deskripsi | Date |
| --- | --- | --- |
| [AWS kebijakan terkelola: AmazonWorkSpacesPoolServiceAccess](#workspaces-pools-service-access)- Ditambahkan kebijakan baru | WorkSpaces menambahkan kebijakan terkelola baru untuk memberikan izin untuk melihat Amazon EC2 VPCs dan sumber daya terkait, serta untuk melihat dan mengelola bucket Amazon S3 untuk Kumpulan. WorkSpaces | 24 Juni 2024 |
| [AWS kebijakan terkelola: AmazonWorkSpacesAdmin](#workspaces-admin)- Kebijakan yang diperbarui | WorkSpaces menambahkan beberapa tindakan untuk WorkSpaces Pools ke kebijakan WorkSpacesAdmin terkelola Amazon, memberikan akses admin untuk mengelola WorkSpace sumber daya Pool. | 24 Juni 2024 |
| [AWS kebijakan terkelola: AmazonWorkSpacesAdmin](#workspaces-admin)- Kebijakan yang diperbarui | WorkSpaces menambahkan workspaces:RestoreWorkspace tindakan ke kebijakan WorkSpacesAdmin terkelola Amazon, memberikan akses admin untuk memulihkan. WorkSpaces | Juni 25, 2023 |
| [AWS kebijakan terkelola: AmazonWorkspaces PCAAccess](#workspaces-pca-access)- Ditambahkan kebijakan baru | WorkSpaces menambahkan kebijakan terkelola baru untuk memberikan acm-pca izin mengelola AWS Private CA untuk mengelola otentikasi berbasis sertifikat. | 18 November 2022 |
| WorkSpaces mulai melacak perubahan | WorkSpaces mulai melacak perubahan untuk kebijakan yang WorkSpaces dikelola. | 1 Maret 2021 |
# Akses ke WorkSpaces dan skrip pada instans streaming
Aplikasi dan skrip yang berjalan pada instance WorkSpaces streaming harus menyertakan AWS kredensional dalam permintaan API mereka. AWS Anda dapat membuat peran IAM untuk mengelola kredensional ini. Peran IAM menentukan sekumpulan izin yang dapat Anda gunakan untuk mengakses sumber daya. AWS Namun, peran ini tidak terkait secara unik dengan satu orang. Sebaliknya, dapat diasumsikan oleh siapa saja yang membutuhkannya.
Anda dapat menerapkan peran IAM ke instance WorkSpaces streaming. Saat instance streaming beralih ke (mengasumsikan) peran, peran tersebut menyediakan kredensi keamanan sementara. Aplikasi atau skrip Anda menggunakan kredensional ini untuk melakukan tindakan API dan tugas manajemen pada instance streaming. WorkSpaces mengelola sakelar kredensi sementara untuk Anda.
**Topics**
+ [Praktik Terbaik untuk Menggunakan Peran IAM Dengan Instans WorkSpaces Streaming](#best-practices-for-using-iam-role-with-streaming-instances)
+ [Mengonfigurasi Peran IAM yang Ada untuk Digunakan Dengan WorkSpaces Instans Streaming](#configuring-existing-iam-role-to-use-with-streaming-instances)
+ [Cara Membuat Peran IAM untuk Digunakan Dengan Instans WorkSpaces Streaming](#how-to-create-iam-role-to-use-with-streaming-instances)
+ [Cara Menggunakan Peran IAM Dengan Instans WorkSpaces Streaming](#how-to-use-iam-role-with-streaming-instances)
## Praktik Terbaik untuk Menggunakan Peran IAM Dengan Instans WorkSpaces Streaming
Saat Anda menggunakan peran IAM dengan instans WorkSpaces streaming, kami sarankan Anda mengikuti praktik berikut:
+ Batasi izin yang Anda berikan untuk tindakan dan sumber daya AWS API.
Ikuti prinsip hak istimewa paling sedikit saat Anda membuat dan melampirkan kebijakan IAM ke peran IAM yang terkait dengan WorkSpaces instans streaming. Saat Anda menggunakan aplikasi atau skrip yang memerlukan akses ke tindakan atau sumber daya AWS API, tentukan tindakan dan sumber daya spesifik yang diperlukan. Kemudian, buat kebijakan yang memungkinkan aplikasi atau skrip hanya melakukan tindakan tersebut. Untuk informasi lebih lanjut, lihat [Berikan hak istimewa terkecil](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) dalam *Panduan Pengguna IAM*.
+ Buat peran IAM untuk setiap WorkSpaces sumber daya.
Menciptakan peran IAM yang unik untuk setiap WorkSpaces sumber daya adalah praktik yang mengikuti prinsip hak istimewa paling sedikit. Melakukannya juga memungkinkan Anda mengubah izin untuk sumber daya tanpa memengaruhi sumber daya lainnya.
+ Batasi di mana kredenal dapat digunakan.
Kebijakan IAM memungkinkan Anda menentukan kondisi di mana peran IAM Anda dapat digunakan untuk mengakses sumber daya. Misalnya, Anda dapat menyertakan kondisi untuk menentukan rentang alamat IP tempat permintaan dapat berasal. Melakukannya mencegah kredensional digunakan di luar lingkungan Anda. Untuk informasi selengkapnya, lihat [Menggunakan Ketentuan Kebijakan untuk Keamanan Ekstra](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#use-policy-conditions) di *Panduan Pengguna IAM*.
## Mengonfigurasi Peran IAM yang Ada untuk Digunakan Dengan WorkSpaces Instans Streaming
Topik ini menjelaskan cara mengonfigurasi peran IAM yang ada sehingga Anda dapat menggunakannya. WorkSpaces
**Prasyarat**
Peran IAM yang ingin Anda gunakan WorkSpaces harus memenuhi prasyarat berikut:
+ Peran IAM harus berada di akun Amazon Web Services yang sama dengan instans WorkSpaces streaming.
+ Peran IAM tidak dapat menjadi peran layanan.
+ Kebijakan hubungan kepercayaan yang melekat pada peran IAM harus mencakup WorkSpaces layanan sebagai kepala sekolah. *Principal* adalah entitas AWS yang dapat melakukan tindakan dan mengakses sumber daya. Kebijakan juga harus mencakup `sts:AssumeRole` tindakan. Konfigurasi kebijakan ini didefinisikan WorkSpaces sebagai entitas tepercaya.
+ Jika Anda menerapkan peran IAM WorkSpaces, WorkSpaces harus menjalankan versi WorkSpaces agen yang dirilis pada atau setelah 3 September 2019. Jika Anda menerapkan peran IAM WorkSpaces, WorkSpaces harus menggunakan gambar yang menggunakan versi agen yang dirilis pada atau setelah tanggal yang sama.
**Untuk memungkinkan kepala WorkSpaces layanan untuk mengambil peran IAM yang ada**
Untuk melakukan langkah-langkah berikut, Anda harus masuk ke akun sebagai pengguna IAM yang memiliki izin yang diperlukan untuk membuat daftar dan memperbarui peran IAM. Jika Anda tidak memiliki izin yang diperlukan, minta administrator akun Amazon Web Services Anda untuk melakukan langkah-langkah ini di akun Anda atau memberi Anda izin yang diperlukan.
1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Peran**.
1. Dalam daftar peran di akun Anda, pilih nama peran yang ingin Anda ubah.
1. Pilih tab **Hubungan kepercayaan**, dan kemudian pilih**Ubah hubungan kepercayaan**.
1. Di bawah **Dokumen Kebijakan**, verifikasi bahwa kebijakan hubungan kepercayaan mencakup `sts:AssumeRole` tindakan untuk kepala `workspaces.amazonaws.com` layanan:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"workspaces.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Setelah selesai mengubah kebijakan kepercayaan, pilih **Perbarui Kebijakan Kepercayaan** untuk menyimpan perubahan Anda.
1. Peran IAM yang Anda pilih akan ditampilkan di WorkSpaces konsol. Peran ini memberikan izin ke aplikasi dan skrip untuk melakukan tindakan API dan tugas manajemen pada instance streaming.
## Cara Membuat Peran IAM untuk Digunakan Dengan Instans WorkSpaces Streaming
Topik ini menjelaskan cara membuat peran IAM baru sehingga Anda dapat menggunakannya WorkSpaces
1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Peran**, lalu pilih **Buat peran**.
1. Untuk **Pilih tipe entitas tepercaya**, pilih **Layanan AWS**.
1. Dari daftar AWS layanan, pilih **WorkSpaces**.
1. Di bawah **Pilih kasus penggunaan Anda**, **WorkSpaces — Memungkinkan WorkSpaces instans untuk memanggil AWS layanan atas nama Anda** sudah dipilih. Pilih **Berikutnya: Izin**.
1. Jika memungkinkan, pilih kebijakan yang akan digunakan untuk kebijakan izin atau pilih **Buat kebijakan** untuk membuka tab browser baru dan membuat kebijakan baru dari awal. Untuk informasi selengkapnya, lihat langkah 4 dalam prosedur [Membuat Kebijakan IAM (Konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start) di *Panduan Pengguna IAM*.
Setelah Anda membuat kebijakan, tutup tab tersebut dan kembali ke tab asli Anda. Pilih kotak centang di samping kebijakan izin yang WorkSpaces ingin Anda miliki.
1. (Opsional) Tetapkan batas izin. Ini adalah fitur lanjutan yang tersedia untuk peran layanan, tetapi bukan peran tertaut layanan. Untuk informasi selengkapnya, lihat [Batas Izin untuk Entitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) di Panduan Pengguna *IAM*.
1. Pilih **Berikutnya: Tanda**. Anda dapat secara opsional melampirkan tag sebagai pasangan nilai kunci. Untuk informasi selengkapnya, lihat [Menandai Pengguna dan Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) di Panduan Pengguna *IAM*.
1. Pilih **Berikutnya: Tinjauan**.
1. Untuk **nama Peran**, ketikkan nama peran yang unik dalam akun Amazon Web Services Anda. Karena AWS sumber daya lain mungkin mereferensikan peran tersebut, Anda tidak dapat mengedit nama peran setelah peran tersebut dibuat.
1. Untuk **deskripsi Peran**, simpan deskripsi peran default atau ketik yang baru.
1. Tinjau peran lalu pilih **Buat peran**.
## Cara Menggunakan Peran IAM Dengan Instans WorkSpaces Streaming
Setelah Anda membuat peran IAM, Anda dapat menerapkannya WorkSpaces saat Anda meluncurkan WorkSpaces. Anda juga dapat menerapkan peran IAM ke yang ada WorkSpaces.
Saat Anda menerapkan peran IAM ke WorkSpaces, WorkSpaces mengambil kredensi sementara dan membuat profil kredensi **workspaces\$1machine\$1role** pada instance. Kredensi sementara berlaku selama 1 jam, dan kredenal baru diambil setiap jam. Kredensi sebelumnya tidak kedaluwarsa, sehingga Anda dapat menggunakannya selama valid. Anda dapat menggunakan profil kredensi untuk memanggil AWS layanan secara terprogram dengan menggunakan AWS Command Line Interface (AWSCLI), AWS Tools for PowerShell, atau AWS SDK dengan bahasa pilihan Anda.
Saat Anda melakukan panggilan API, tentukan **workspaces\$1machine\$1role** sebagai profil kredensialnya. Jika tidak, operasi gagal karena izin yang tidak mencukupi.
WorkSpaces mengasumsikan peran yang ditentukan saat instance streaming disediakan. Karena WorkSpaces menggunakan elastic network interface yang terpasang ke VPC Anda untuk panggilan AWS API, aplikasi atau skrip Anda harus menunggu elastis network interface tersedia sebelum melakukan panggilan AWS API. Jika panggilan API dilakukan sebelum elastic network interface tersedia, panggilan akan gagal.
Contoh berikut menunjukkan bagaimana Anda dapat menggunakan profil kredenal **workspaces\$1machine\$1role** untuk mendeskripsikan instance streaming (instance) EC2 dan untuk membuat klien Boto. Boto adalah Amazon Web Services (AWS) SDK untuk Python.
**Jelaskan Instans Streaming (EC2 instance) dengan Menggunakan CLI AWS**
```
aws ec2 describe-instances --region us-east-1 --profile workspaces_machine_role
```
**Jelaskan Instans Streaming (EC2 instance) dengan Menggunakan AWS Alat untuk PowerShell**
Anda harus menggunakan AWS Tools untuk PowerShell versi 3.3.563.1 atau yang lebih baru, dengan Amazon Web Services SDK for .NET versi 3.3.103.22 atau yang lebih baru. Anda dapat mengunduh penginstal AWS Alat untuk Windows, yang mencakup AWS Alat untuk PowerShell dan Amazon Web Services SDK untuk.NET, dari [AWSTools PowerShell](https://aws.amazon.com/powershell/) for website.
```
Get-EC2Instance -Region us-east-1 -ProfileName workspaces_machine_role
```
**Membuat Klien Boto dengan Menggunakan AWS SDK untuk Python**
```
session = boto3.Session(profile_name=workspaces_machine_role')
```
# Referensi izin operasi WorkSpaces Konsol Amazon
Beberapa Amazon hanya WorkSpaces APIs dapat dipanggil melalui Konsol AWS Manajemen. Mereka tidak publik APIs, dalam arti mereka tidak dapat disebut secara terprogram, dan mereka tidak disediakan oleh SDK apa pun. Operasi API ini meliputi:
+ ruang kerja: DirectoryAccessManagement
+ ruang kerja: CreateRootClientCertificate
+ ruang kerja: UpdateRootClientCertificate
+ ruang kerja: DeleteRootClientCertificate
+ ruang kerja: DescribeConsent
+ ruang kerja: UpdateConsent
## WorkSpaces Operasi konsol dan izin yang diperlukan untuk tindakan
Konsol menggunakan tindakan API tambahan untuk fitur-fiturnya, sehingga izin untuk WorkSpaces publik APIs mungkin tidak cukup. Misalnya, pengguna yang memiliki izin untuk menggunakan [CreateWorkspaces](https://docs.aws.amazon.com/workspaces/latest/api/API_CreateWorkspaces.html)API melalui CLI/SDK mungkin mengalami kesalahan saat mencoba membuat WorkSpace di konsol, karena mereka kehilangan izin tertentu untuk memilih atau membuat Pengguna. Tabel ini mencantumkan fitur yang hanya tersedia di WorkSpaces Konsol dan izin tambahan yang diperlukan yang memungkinkan pengguna untuk bekerja dengan bagian tertentu dari konsol ini.
Bagian [Contoh kebijakan](https://docs.aws.amazon.com/workspaces/latest/adminguide/workspaces-access-control.html#workspaces-example-iam-policies) menyediakan daftar izin untuk melakukan semua WorkSpaces tugas untuk Personal, Pools dan WorkSpaces BYOL.
Atau, Anda juga dapat menggunakan izin granular untuk menerapkan izin hak istimewa paling sedikit untuk melakukan tugas.
Tabel ini mencantumkan fitur WorkSpaces Konsol yang bergantung pada fitur APIs yang tidak disediakan oleh SDK dan izin yang diperlukan yang memungkinkan pengguna untuk bekerja dengan bagian tertentu dari konsol ini. Izin ini harus ditambahkan selain tindakan lain yang diperlukan untuk APIs disediakan oleh SDK.
| WorkSpaces Operasi konsol | Izin yang diperlukan |
| --- | --- |
| [WorkSpaces Pengaturan Cepat Pribadi](https://docs.aws.amazon.com/workspaces/latest/adminguide/managing-wsp-personal.html#getting-started) | ruang kerja: DirectoryAccessManagement ds: \$1 EC2: CreateVpc EC2: CreateSubnet EC2: CreateNetworkInterface EC2: CreateInternetGateway EC2: CreateRouteTable EC2: CreateRoute EC2: CreateTags EC2: CreateSecurityGroup EC2: DescribeInternetGateways EC2: DescribeSecurityGroups EC2: DescribeRouteTables EC2: DescribeVpcs EC2: DescribeSubnets EC2: DescribeNetworkInterfaces EC2: DescribeAvailabilityZones EC2: AttachInternetGateway EC2: AssociateRouteTable EC2: AuthorizeSecurityGroupIngress EC2: AuthorizeSecurityGroupEgress saya: CreateRole saya: GetRole saya: PutRolePolicy ruang kerja: DescribeAccount ruang kerja: DescribeWorkspaceDirectories ruang kerja: CreateWorkspaces ruang kerja: DescribeWorkspaces ruang kerja: RegisterWorkspaceDirectory ruang kerja: DescribeWorkspaceBundles ruang kerja: DescribeWorkspaces |
| [Batasi akses ke Perangkat Tepercaya untuk Pribadi WorkSpaces ](https://docs.aws.amazon.com/workspaces/latest/adminguide/trusted-devices.html#configure-restriction) | ruang kerja: CreateRootClientCertificate ruang kerja: UpdateRootClientCertificate ruang kerja: DeleteRootClientCertificate ds: DescribeDirectories EC2: DescribeSubnets EC2: DescribeSecurityGroups ruang kerja: DescribeAccount ruang kerja: DescribeWorkspaceDirectories ruang kerja: DescribeTags ruang kerja: DescribeClientProperties ruang kerja: DescribeConnectClientAddins ruang kerja: DirectoryAccessManagement |
| [Membuat WorkSpace in WorkSpaces Personal di Konsol](https://docs.aws.amazon.com/workspaces/latest/adminguide/create-workspaces-personal.html) — Untuk pengguna create/search/describe direktori Directory Service | ruang kerja: DirectoryAccessManagement ruang kerja: DescribeAccount ruang kerja: CreateWorkspaces ruang kerja: DescribeWorkspaces ruang kerja: DescribeWorkspaceDirectories ruang kerja: DescribeWorkspaceBundles ruang kerja: DescribeTags ruang kerja: CreateTags ruang kerja: DescribeClientProperties km: ListKeys km: ListAliases km: DescribeKey ds: DescribeTrusts ds: DescribeDirectories EC2: DescribeSubnets EC2: DescribeSecurityGroups |
| [Mengelola pengguna di WorkSpaces Pribadi](https://docs.aws.amazon.com/workspaces/latest/adminguide/manage-workspaces-users.html) - Untuk mengedit pengguna dan mengirim email undangan pengguna | ruang kerja: DirectoryAccessManagement ruang kerja: DescribeAccount ruang kerja: DescribeWorkspaceDirectories ruang kerja: DescribeWorkspaces ruang kerja: DescribeTags ruang kerja: DescribeWorkspaceBundles ruang kerja: DescribeWorkspacesConnectionStatus ruang kerja: DescribeWorkspaceAssociations ruang kerja: DescribeWorkspaceSnapshots ruang kerja: DescribeWorkspaceImages ruang kerja: DescribeConnectionAliases |
| [Perbarui akun AD Connector (AD Connector) untuk WorkSpaces Pribadi](https://docs.aws.amazon.com/workspaces/latest/adminguide/connect-account.html) | ruang kerja: DirectoryAccessManagement ds: DescribeDirectories ds: UpdateDirectory EC2: DescribeSubnets EC2: DescribeSecurityGroups ruang kerja: DescribeAccount ruang kerja: DescribeWorkspaceDirectories ruang kerja: DescribeTags ruang kerja: DescribeClientProperties ruang kerja: DescribeConnectClientAddins |
| [Pilih unit organisasi untuk WorkSpaces Personal](https://docs.aws.amazon.com/workspaces/latest/adminguide/select-ou.html) | ruang kerja: DirectoryAccessManagement ds: DescribeDirectories EC2: DescribeSubnets EC2: DescribeSecurityGroups ruang kerja: DescribeAccount ruang kerja: DescribeWorkspaceDirectories ruang kerja: DescribeTags ruang kerja: DescribeClientProperties ruang kerja: DescribeConnectClientAddins ruang kerja: ModifyWorkspaceCreationProperties |
| [Aktifkan akun Anda untuk BYOL](https://docs.aws.amazon.com/workspaces/latest/adminguide/byol-windows-images.html) - Untuk mengonfirmasi pemahaman tentang persyaratan untuk menggunakan BYOL WorkSpaces | ruang kerja: DescribeConsent ruang kerja: UpdateConsent ruang kerja: DescribeAccount ruang kerja: ListAccountLinks ruang kerja: DescribeWorkspaceBundles ruang kerja: DescribeWorkspaceImages ruang kerja: DescribeWorkspaceDirectories |