WorkSpaces 用の AWS 管理ポリシー - Amazon WorkSpaces
AmazonWorkSpacesAdminAmazonWorkspacesPCAAccessAmazonWorkSpacesSelfServiceAccessAmazonWorkSpacesServiceAccessAmazonWorkSpacesPoolServiceAccesWorkSpaces による AWS マネージドポリシーの更新

WorkSpaces 用の AWS 管理ポリシー

AWS 管理ポリシーを使用すると、ユーザー、グループ、ロールへのアクセス許可の追加が、自分でポリシーを作成するよりも簡単になります。チームに必要な許可のみを提供する IAM カスタマー管理ポリシーを作成するには、時間と専門知識が必要です。AWS マネージドポリシーを使用することで、すぐに使用を開始できます。これらのポリシーは一般的なユースケースを対象範囲に含めており、AWS アカウントで利用できます。AWS マネージドポリシーの詳細については「IAM ユーザーガイド」の「AWS マネージドポリシー」を参照してください。

AWS のサービスはAWS マネージドポリシーを維持および更新します。AWS マネージドポリシーの許可を変更することはできません。サービスでは、新しい機能を利用できるようにするために、AWS マネージドポリシーに許可が追加されることがあります。この種類の更新はポリシーがアタッチされている、すべてのアイデンティティ (ユーザー、グループおよびロール) に影響を与えます。新しい機能が立ち上げられた場合や、新しいオペレーションが使用可能になった場合に、各サービスが AWS マネージドポリシーを更新する可能性が最も高くなります。サービスは、AWS マネージドポリシーからの許可を削除しないため、ポリシーの更新によって既存の許可が破棄されることはありません。

加えて AWS では、複数のサービスにまたがるジョブ機能のためのマネージドポリシーもサポートしています。例えば、ReadOnlyAccess AWS マネージドポリシーでは、すべての AWS のサービスおよびリソースへの読み取り専用アクセスを許可します。あるサービスで新しい機能を立ち上げる場合は、AWS は、追加された演算とリソースに対し、読み込み専用の許可を追加します。ジョブ機能のポリシーの一覧および詳細については、「IAM ユーザーガイド」の「AWS のジョブ機能のマネージドポリシー」を参照してください。

AWS 管理ポリシー: AmazonWorkSpacesAdmin

注記

リストされているアクセス許可は SDK 専用であり、コンソールでは機能しません。コンソールには、Amazon WorkSpaces コンソールオペレーションのアクセス許可リファレンスに記載されている追加のアクセス許可が必要です。

このポリシーは、Amazon WorkSpaces の管理アクションへのアクセスを提供します。以下のアクセス許可が提供されます。

  • workspaces – WorkSpaces Personal および WorkSpaces Pools リソースに対する管理アクションを実行するためのアクセスを許可します。

  • kms – KMS キーの一覧へのアクセスと説明、およびエイリアスの一覧表示を許可します。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AmazonWorkSpacesAdmin",
            "Effect": "Allow",
            "Action": [
                "kms:DescribeKey",
                "kms:ListAliases",
                "kms:ListKeys",
                "workspaces:CreateTags",
                "workspaces:CreateWorkspaceImage",
                "workspaces:CreateWorkspaces",
                "workspaces:CreateWorkspacesPool",
                "workspaces:CreateStandbyWorkspaces",
                "workspaces:DeleteTags",
                "workspaces:DeregisterWorkspaceDirectory",
                "workspaces:DescribeTags",
                "workspaces:DescribeWorkspaceBundles",
                "workspaces:DescribeWorkspaceDirectories",
                "workspaces:DescribeWorkspaces",
                "workspaces:DescribeWorkspacesPools",
                "workspaces:DescribeWorkspacesPoolSessions",
                "workspaces:DescribeWorkspacesConnectionStatus",
                "workspaces:ModifyCertificateBasedAuthProperties",
                "workspaces:ModifySamlProperties",
                "workspaces:ModifyStreamingProperties",
                "workspaces:ModifyWorkspaceCreationProperties",
                "workspaces:ModifyWorkspaceProperties",
                "workspaces:RebootWorkspaces",
                "workspaces:RebuildWorkspaces",
                "workspaces:RegisterWorkspaceDirectory",
                "workspaces:RestoreWorkspace",
                "workspaces:StartWorkspaces",
                "workspaces:StartWorkspacesPool",
                "workspaces:StopWorkspaces",
                "workspaces:StopWorkspacesPool",
                "workspaces:TerminateWorkspaces",
                "workspaces:TerminateWorkspacesPool",
                "workspaces:TerminateWorkspacesPoolSession",
                "workspaces:UpdateWorkspacesPool"
            ],
            "Resource": "*"
        }
    ]
}

AWS マネージドポリシー: AmazonWorkspacesPCAAccess

このマネージドポリシーは、証明書ベースの認証のために AWS アカウントの AWS Certificate Manager Private Certificate Authority (Private CA) リソースへのアクセスを提供します。これは AmazonWorkSpacesPCAAccess ロールに含まれており、次のアクセス許可を提供します。

  • acm-pca - 証明書ベースの認証を管理するために AWS Private CA へのアクセスを許可します。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "acm-pca:IssueCertificate",
                "acm-pca:GetCertificate",
                "acm-pca:DescribeCertificateAuthority"
            ],
            "Resource": "arn:*:acm-pca:*:*:*",
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/euc-private-ca": "*"
                }
            }
        }
    ]
}

AWS 管理ポリシー: AmazonWorkSpacesSelfServiceAccess

このポリシーでは、Amazon WorkSpaces サービスにアクセスして、ユーザーが開始した WorkSpaces セルフサービスアクションを実行できるようにします。これは workspaces_DefaultRole ロールに含まれており、次のアクセス許可が付与されます。

  • workspaces – ユーザーを対象とした WorkSpace の自己管理機能を利用できるようにします。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "workspaces:RebootWorkspaces",
                "workspaces:RebuildWorkspaces",
                "workspaces:ModifyWorkspaceProperties"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

AWS管理ポリシー: AmazonWorkSpacesServiceAccess

このポリシーは、WorkSpaces を起動するための Amazon WorkSpaces サービスへのカスタマーアカウントアクセスを提供します。これは workspaces_DefaultRole ロールに含まれており、次のアクセス許可が付与されます。

  • ec2 – ネットワークインターフェイスなど、WorkSpace に関連付けられた Amazon EC2 リソースを管理するためのアクセスを許可します。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "ec2:CreateNetworkInterface",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeNetworkInterfaces"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

AWS マネージドポリシー: AmazonWorkSpacesPoolServiceAccess

このポリシーは workspaces_DefaultRole で使用されるものです。WorkSpaces Pools でお客様の AWS アカウントの必要なリソースにアクセスするために WorkSpaces が使用します。詳細については、「workspaces_DefaultRole ロールを作成する」を参照してください。以下のアクセス許可が提供されます。

  • ec2 - WorkSpaces Pools に関連付けられた VPC、サブネット、アベイラビリティーゾーン、セキュリティグループ、ルートテーブルなどの Amazon EC2 リソースを管理するためのアクセスを許可します。

  • s3 - ログ、アプリケーション設定、ホームフォルダ機能に必要な Amazon S3 バケットでアクションを実行するためのアクセスを許可します。

Commercial AWS リージョン

次のポリシー JSON は、商用の AWS リージョンに適用されます。

JSON
JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ProvisioningWorkSpacesPoolPermissions",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeRouteTables",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "WorkSpacesPoolS3Permissions",
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:ListBucket",
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:GetObjectVersion",
                "s3:DeleteObjectVersion",
                "s3:GetBucketPolicy",
                "s3:PutBucketPolicy",
                "s3:PutEncryptionConfiguration"
            ],
            "Resource": [
                "arn:aws:s3:::wspool-logs-*",
                "arn:aws:s3:::wspool-app-settings-*",
                "arn:aws:s3:::wspool-home-folder-*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        }
    ]
}
AWS GovCloud (US) Regions

次のポリシー JSON は、商用の AWS GovCloud (US) Regions に適用されます。

JSON
JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ProvisioningWorkSpacesPoolPermissions",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeRouteTables",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "WorkSpacesPoolS3Permissions",
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:ListBucket",
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:GetObjectVersion",
                "s3:DeleteObjectVersion",
                "s3:GetBucketPolicy",
                "s3:PutBucketPolicy",
                "s3:PutEncryptionConfiguration"
            ],
            "Resource": [
                "arn:aws-us-gov:s3:::wspool-logs-*",
                "arn:aws-us-gov:s3:::wspool-app-settings-*",
                "arn:aws-us-gov:s3:::wspool-home-folder-*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        }
    ]
}

WorkSpaces による AWS マネージドポリシーの更新

WorkSpaces の AWS マネージドポリシーの更新に関する詳細を、このサービスがこれらの変更の追跡を開始した以降の分について表示します。

変更 説明 日付
AWS マネージドポリシー: AmazonWorkSpacesPoolServiceAccess - 新しいポリシーを追加しました Amazon EC2 VPC や関連リソースを表示するためのアクセスを許可し、WorkSpaces Pools の Amazon S3 バケットを表示および管理するためのアクセスを許可する、新しいマネージドポリシーが WorkSpaces に追加されました。 2024 年 6 月 24 日
AWS 管理ポリシー: AmazonWorkSpacesAdmin – ポリシーを更新 Amazon WorkSpacesAdmin マネージドポリシーに WorkSpaces Pools のリソース管理用のアクションがいくつか追加され、管理者がアクセスできるようになりました。 2024 年 6 月 24 日
AWS 管理ポリシー: AmazonWorkSpacesAdmin – ポリシーを更新 WorkSpaces が workspaces:RestoreWorkspace アクションを Amazon WorkspacesAdmin マネージドポリシーに追加し、管理者に WorkSpaces を復元するためのアクセス権を付与します。 2023 年 6 月 25 日
AWS マネージドポリシー: AmazonWorkspacesPCAAccess - 新しいポリシーを追加しました WorkSpaces は、証明書ベースの認証を管理するために、AWS Private CA を管理する acm-pca アクセス許可をグラントする新しいマネージドポリシーを追加しました。 2022 年 11 月 18 日
WorkSpaces で変更の追跡が開始されました WorkSpaces が、WorkSpaces マネージドポリシーの変更の追跡を開始しました。 2021 年 3 月 1 日