翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
WorkSpaces Secure Browser のサービスリンクロールのアクセス許可
WorkSpaces Secure Browser は、WorkSpaces Secure Browser は、AWSServiceRoleForAmazonWorkSpacesWeb という名前のサービスリンクロールを使用してカスタマーアカウントの Amazon EC2 リソースにアクセスして、インスタンスや CloudWatch メトリクスをストリーミングします。
AWSServiceRoleForAmazonWorkSpacesWeb サービスリンクロールは、以下のサービスを信頼してロールを引き受けます。
-
workspaces-web.amazonaws.com
AmazonWorkSpacesWebServiceRolePolicy という名前のロールアクセス許可ポリシーは、WorkSpaces Secure Browser に、指定されたリソースで以下のアクションを完了することを許可します。詳細については、「AWS マネージドポリシー: AmazonWorkSpacesWebServiceRolePolicy」を参照してください。
-
アクション:
ec2:DescribeVpcs。対象リソース:all AWS resources -
アクション:
all AWS resources上でec2:DescribeSubnets -
アクション:
ec2:DescribeAvailabilityZones。対象リソース:all AWS resources -
アクション: サブネットリソースとセキュリティグループリソース上の
ec2:CreateNetworkInterfaceでaws:RequestTag/WorkSpacesWebManaged: true -
アクション:
ec2:DescribeNetworkInterfaces。対象リソース:all AWS resources -
アクション:
aws:ResourceTag/WorkSpacesWebManaged: trueとのネットワークインターフェースでec2:DeleteNetworkInterface -
アクション:
ec2:DescribeSubnets。対象リソース:all AWS resources -
アクション:
all AWS resources上でec2:AssociateAddress -
アクション:
all AWS resources上でec2:DisassociateAddress -
アクション:
all AWS resources上でec2:DescribeRouteTables -
アクション:
all AWS resources上でec2:DescribeSecurityGroups -
アクション:
ec2:DescribeVpcEndpoints。対象リソース:all AWS resources -
アクション:
aws:TagKeys: ["WorkSpacesWebManaged"]を使ったec2:CreateNetworkInterfaceオペレーションでのec2:CreateTags -
アクション:
cloudwatch:PutMetricData。対象リソース:all AWS resources -
アクション: 名前が
amazon-workspaces-web-で始まる Kinesis データストリーム上でkinesis:PutRecord -
アクション: 名前が
amazon-workspaces-web-で始まる Kinesis データストリーム上でkinesis:PutRecords -
アクション: 名前が
amazon-workspaces-web-で始まる Kinesis データストリーム上でkinesis:DescribeStreamSummary
サービスリンク役割の作成、編集、削除を IAM エンティティ (ユーザー、グループ、役割など) に許可するにはアクセス許可を設定する必要があります。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの許可」を参照してください。
