翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS WorkSpaces の マネージドポリシー
AWS 管理ポリシーを使用すると、ユーザー、グループ、ロールにアクセス許可を追加する方が、自分でポリシーを作成するよりも簡単になります。チームに必要な許可のみを提供する [IAM カスタマー管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)を作成するには、時間と専門知識が必要です。 AWS 管理ポリシーを使用して、すぐに開始できます。これらのポリシーは、一般的なユースケースを対象としており、 AWS アカウントで利用できます。 AWS 管理ポリシーの詳細については、*IAM ユーザーガイド*の「 [AWS 管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。
AWS サービスは、 AWS 管理ポリシーを維持および更新します。 AWS 管理ポリシーのアクセス許可は変更できません。サービスは、新機能をサポートするために、 AWS 管理ポリシーに追加のアクセス許可を追加することがあります。この種類の更新はポリシーがアタッチされている、すべてのアイデンティティ (ユーザー、グループおよびロール) に影響を与えます。サービスは、新機能が起動されたとき、または新しいオペレーションが利用可能になったときに、 AWS マネージドポリシーを更新する可能性が最も高いです。サービスは AWS マネージドポリシーからアクセス許可を削除しないため、ポリシーの更新によって既存のアクセス許可が損なわれることはありません。
さらに、 は、複数のサービスにまたがるジョブ関数の マネージドポリシー AWS をサポートしています。たとえば、 `ReadOnlyAccess` AWS 管理ポリシーは、すべての AWS サービスとリソースへの読み取り専用アクセスを提供します。サービスが新しい機能を起動する場合、 AWS は新たなオペレーションとリソース用に、読み取り専用の許可を追加します。ジョブ機能のポリシーの一覧および詳細については、「*IAM ユーザーガイド*」の「[AWS のジョブ機能のマネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)」を参照してください。
## AWS マネージドポリシー: AmazonWorkSpacesAdmin
**注記**
リストされているアクセス許可は SDK 専用であり、コンソールでは機能しません。コンソールには、[Amazon WorkSpaces コンソールオペレーションのアクセス許可リファレンスに記載されている追加のアクセス許可](wsp-console-permissions-ref.md)が必要です。
このポリシーは、Amazon WorkSpaces の管理アクションへのアクセスを提供します。以下のアクセス許可が提供されます。
+ `workspaces` – WorkSpaces Personal および WorkSpaces Pools リソースに対する管理アクションを実行するためのアクセスを許可します。
+ `kms` – KMS キーの一覧へのアクセスと説明、およびエイリアスの一覧表示を許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonWorkSpacesAdmin",
"Effect": "Allow",
"Action": [
"kms:DescribeKey",
"kms:ListAliases",
"kms:ListKeys",
"workspaces:CreateTags",
"workspaces:CreateWorkspaceImage",
"workspaces:CreateWorkspaces",
"workspaces:CreateWorkspacesPool",
"workspaces:CreateStandbyWorkspaces",
"workspaces:DeleteTags",
"workspaces:DeregisterWorkspaceDirectory",
"workspaces:DescribeTags",
"workspaces:DescribeWorkspaceBundles",
"workspaces:DescribeWorkspaceDirectories",
"workspaces:DescribeWorkspaces",
"workspaces:DescribeWorkspacesPools",
"workspaces:DescribeWorkspacesPoolSessions",
"workspaces:DescribeWorkspacesConnectionStatus",
"workspaces:ModifyCertificateBasedAuthProperties",
"workspaces:ModifySamlProperties",
"workspaces:ModifyStreamingProperties",
"workspaces:ModifyWorkspaceCreationProperties",
"workspaces:ModifyWorkspaceProperties",
"workspaces:RebootWorkspaces",
"workspaces:RebuildWorkspaces",
"workspaces:RegisterWorkspaceDirectory",
"workspaces:RestoreWorkspace",
"workspaces:StartWorkspaces",
"workspaces:StartWorkspacesPool",
"workspaces:StopWorkspaces",
"workspaces:StopWorkspacesPool",
"workspaces:TerminateWorkspaces",
"workspaces:TerminateWorkspacesPool",
"workspaces:TerminateWorkspacesPoolSession",
"workspaces:UpdateWorkspacesPool"
],
"Resource": "*"
}
]
}
```
------
## AWS マネージドポリシー: AmazonWorkspacesPCAAccess
この管理ポリシーは、証明書ベースの認証のために、 AWS アカウントの AWS Certificate Manager Private Certificate Authority (Private CA) リソースへのアクセスを提供します。これは AmazonWorkSpacesPCAAccess ロールに含まれており、次のアクセス許可を提供します。
+ `acm-pca` - 証明書ベースの認証を管理するための AWS プライベート CA へのアクセスを許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"acm-pca:IssueCertificate",
"acm-pca:GetCertificate",
"acm-pca:DescribeCertificateAuthority"
],
"Resource": "arn:*:acm-pca:*:*:*",
"Condition": {
"StringLike": {
"aws:ResourceTag/euc-private-ca": "*"
}
}
}
]
}
```
------
## AWS マネージドポリシー: AmazonWorkSpacesSelfServiceAccess
このポリシーでは、Amazon WorkSpaces サービスにアクセスして、ユーザーが開始した WorkSpaces セルフサービスアクションを実行できるようにします。これは `workspaces_DefaultRole` ロールに含まれており、次のアクセス許可が付与されます。
+ `workspaces` – ユーザーを対象とした WorkSpace の自己管理機能を利用できるようにします。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"workspaces:RebootWorkspaces",
"workspaces:RebuildWorkspaces",
"workspaces:ModifyWorkspaceProperties"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## AWS マネージドポリシー: AmazonWorkSpacesServiceAccess
このポリシーは、WorkSpaces を起動するための Amazon WorkSpaces サービスへのカスタマーアカウントアクセスを提供します。これは `workspaces_DefaultRole` ロールに含まれており、次のアクセス許可が付与されます。
+ `ec2` – ネットワークインターフェイスなど、WorkSpace に関連付けられた Amazon EC2 リソースを管理するためのアクセスを許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface",
"ec2:DescribeNetworkInterfaces"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## AWS マネージドポリシー: AmazonWorkSpacesPoolServiceAccess
このポリシーは workspaces\$1DefaultRole で使用されます。WorkSpaces はこれを使用して、WorkSpaces WorkSpaces Pools の顧客 AWS アカウントの必要なリソースにアクセスします。詳細については、「[workspaces\$1DefaultRole ロールを作成する](workspaces-access-control.md#create-default-role)」を参照してください。以下のアクセス許可が提供されます。
+ `ec2` - WorkSpaces Pools に関連付けられた VPC、サブネット、アベイラビリティーゾーン、セキュリティグループ、ルートテーブルなどの Amazon EC2 リソースを管理するためのアクセスを許可します。
+ `s3` - ログ、アプリケーション設定、ホームフォルダ機能に必要な Amazon S3 バケットでアクションを実行するためのアクセスを許可します。
------
#### [ Commercial AWS リージョン ]
次のポリシー JSON が商用に適用されます AWS リージョン。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ProvisioningWorkSpacesPoolPermissions",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSecurityGroups",
"ec2:DescribeRouteTables",
"s3:ListAllMyBuckets"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "WorkSpacesPoolS3Permissions",
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:ListBucket",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetObjectVersion",
"s3:DeleteObjectVersion",
"s3:GetBucketPolicy",
"s3:PutBucketPolicy",
"s3:PutEncryptionConfiguration"
],
"Resource": [
"arn:aws:s3:::wspool-logs-*",
"arn:aws:s3:::wspool-app-settings-*",
"arn:aws:s3:::wspool-home-folder-*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
------
#### [ AWS GovCloud (US) Regions ]
次のポリシー JSON は、商用の AWS GovCloud (US) Regionsに適用されます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ProvisioningWorkSpacesPoolPermissions",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSecurityGroups",
"ec2:DescribeRouteTables",
"s3:ListAllMyBuckets"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "WorkSpacesPoolS3Permissions",
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:ListBucket",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetObjectVersion",
"s3:DeleteObjectVersion",
"s3:GetBucketPolicy",
"s3:PutBucketPolicy",
"s3:PutEncryptionConfiguration"
],
"Resource": [
"arn:aws-us-gov:s3:::wspool-logs-*",
"arn:aws-us-gov:s3:::wspool-app-settings-*",
"arn:aws-us-gov:s3:::wspool-home-folder-*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
------
## AWS 管理ポリシーに対する WorkSpaces の更新
このサービスがこれらの変更の追跡を開始してからの WorkSpaces の AWS マネージドポリシーの更新に関する詳細を表示します。
| 変更 | 説明 | 日付 |
| --- | --- | --- |
| [AWS マネージドポリシー: AmazonWorkSpacesPoolServiceAccess](#workspaces-pools-service-access) - 新しいポリシーを追加しました | Amazon EC2 VPC や関連リソースを表示するためのアクセスを許可し、WorkSpaces Pools の Amazon S3 バケットを表示および管理するためのアクセスを許可する、新しいマネージドポリシーが WorkSpaces に追加されました。 | 2024 年 6 月 24 日 |
| [AWS マネージドポリシー: AmazonWorkSpacesAdmin](#workspaces-admin) – ポリシーを更新 | Amazon WorkSpacesAdmin マネージドポリシーに WorkSpaces Pools のリソース管理用のアクションがいくつか追加され、管理者がアクセスできるようになりました。 | 2024 年 6 月 24 日 |
| [AWS マネージドポリシー: AmazonWorkSpacesAdmin](#workspaces-admin) – ポリシーを更新 | WorkSpaces が workspaces:RestoreWorkspace アクションを Amazon WorkspacesAdmin マネージドポリシーに追加し、管理者に WorkSpaces を復元するためのアクセス権を付与します。 | 2023 年 6 月 25 日 |
| [AWS マネージドポリシー: AmazonWorkspacesPCAAccess](#workspaces-pca-access) - 新しいポリシーを追加しました | WorkSpaces は、証明書ベースの認証を管理する AWS ためのプライベート CA を管理するacm-pcaアクセス許可を付与する新しい管理ポリシーを追加しました。 | 2022 年 11 月 18 日 |
| WorkSpaces で変更の追跡が開始されました | WorkSpaces が、WorkSpaces マネージドポリシーの変更の追跡を開始しました。 | 2021 年 3 月 1 日 |