AmazonWorkSpacesAdmin AmazonWorkspacesPCAAccess AmazonWorkSpacesSelfServiceAccess AmazonWorkSpacesServiceAccess AmazonWorkSpacesPoolServiceAcces Atualizações do WorkSpaces para políticas gerenciadas pela AWS

Políticas gerenciadas pela AWS para o WorkSpaces

O uso de políticas gerenciadas pela AWS torna a adição de permissões a usuários, grupos e perfis mais fácil do que a criação de políticas por conta própria. É necessário tempo e experiência para criar políticas gerenciadas pelo cliente do IAM que fornecem à sua equipe apenas as permissões de que precisam. Use as políticas gerenciadas da AWS para começar rapidamente. Essas políticas abrangem casos de uso comuns e estão disponíveis na sua conta da AWS. Para obter mais informações sobre políticas gerenciadas pela AWS, consulte Políticas gerenciadas pela AWS no Guia do usuário do IAM.

Os serviços da AWS mantêm e atualizam políticas gerenciadas pela AWS. Não é possível alterar as permissões em políticas gerenciadas pela AWS. Os serviços podem ocasionalmente acrescentar permissões adicionais a uma política gerenciada pela AWS para oferecer suporte a novos recursos. Esse tipo de atualização afeta todas as identidades (usuários, grupos e funções) em que a política está anexada. É mais provável que os serviços atualizem uma política gerenciada pela AWS quando um novo atributo for iniciado ou novas operações se tornarem disponíveis. Os serviços não removem permissões de uma política gerenciada por AWS, portanto, as atualizações de políticas não suspendem suas permissões existentes.

Além disso, a AWS oferece apoio a políticas gerenciadas para perfis de trabalho que abrangem vários serviços. Por exemplo, a política gerenciada ReadOnlyAccess da AWS concede acesso somente leitura a todos os serviços e recursos da AWS. Quando um serviço inicia um novo atributo, a AWS adiciona permissões somente leitura para novas operações e atributos. Para obter uma lista e descrições das políticas de perfis de trabalho, consulte Políticas gerenciadas pela AWS para perfis de trabalho no Guia do usuário do IAM.

Política gerenciada pela AWS: AmazonWorkSpacesAdmin

nota

As permissões listadas são somente para o SDK e não funcionarão no console. O console exige permissões adicionais listadas na referência de permissões de operações do console do Amazon WorkSpaces.

Esta política fornece acesso às ações administrativas do Amazon WorkSpaces. Ela fornece as seguintes permissões:

workspaces: permite o acesso para realizar ações administrativas nos recursos do WorkSpaces Personal e do WorkSpaces Pools
kms: permite o acesso para listar e descrever chaves do KMS, bem como listar aliases.

JSON


{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AmazonWorkSpacesAdmin",
            "Effect": "Allow",
            "Action": [
                "kms:DescribeKey",
                "kms:ListAliases",
                "kms:ListKeys",
                "workspaces:CreateTags",
                "workspaces:CreateWorkspaceImage",
                "workspaces:CreateWorkspaces",
                "workspaces:CreateWorkspacesPool",
                "workspaces:CreateStandbyWorkspaces",
                "workspaces:DeleteTags",
                "workspaces:DeregisterWorkspaceDirectory",
                "workspaces:DescribeTags",
                "workspaces:DescribeWorkspaceBundles",
                "workspaces:DescribeWorkspaceDirectories",
                "workspaces:DescribeWorkspaces",
                "workspaces:DescribeWorkspacesPools",
                "workspaces:DescribeWorkspacesPoolSessions",
                "workspaces:DescribeWorkspacesConnectionStatus",
                "workspaces:ModifyCertificateBasedAuthProperties",
                "workspaces:ModifySamlProperties",
                "workspaces:ModifyStreamingProperties",
                "workspaces:ModifyWorkspaceCreationProperties",
                "workspaces:ModifyWorkspaceProperties",
                "workspaces:RebootWorkspaces",
                "workspaces:RebuildWorkspaces",
                "workspaces:RegisterWorkspaceDirectory",
                "workspaces:RestoreWorkspace",
                "workspaces:StartWorkspaces",
                "workspaces:StartWorkspacesPool",
                "workspaces:StopWorkspaces",
                "workspaces:StopWorkspacesPool",
                "workspaces:TerminateWorkspaces",
                "workspaces:TerminateWorkspacesPool",
                "workspaces:TerminateWorkspacesPoolSession",
                "workspaces:UpdateWorkspacesPool"
            ],
            "Resource": "*"
        }
    ]
}

Política gerenciada pela AWS: AmazonWorkspacesPCAAccess

Esta política gerenciada fornece acesso aos recursos do Private Certificate Authority (Private CA) do AWS Certificate Manager em sua conta da AWS para autenticação baseada em certificado. Ela está incluída no perfil AmazonWorkspacesPCAAccess e fornece as seguintes permissões:

acm-pca: permite acesso ao Private CA da AWS para gerenciar a autenticação baseada em certificados.

Política gerenciada pela AWS: AmazonWorkspacesSelfServiceAccess

Esta política fornece acesso ao serviço do Amazon WorkSpaces para realizar ações de autoatendimento do WorkSpaces iniciadas por um usuário. Ela está incluída no perfil workspaces_DefaultRole e fornece as seguintes permissões:

workspaces: permite acesso aos recursos de gerenciamento de WorkSpaces de autoatendimento para usuários.

Política gerenciada pela AWS: AmazonWorkspacesServiceAccess

Esta política fornece acesso à conta do cliente ao serviço do Amazon WorkSpaces para iniciar um Workspace. Ela está incluída no perfil workspaces_DefaultRole e fornece as seguintes permissões:

ec2: permite o acesso para gerenciar recursos do Amazon EC2 associados a um WorkSpace, como interfaces de rede.

Política gerenciada pela AWS: AmazonWorkSpacesPoolServiceAccess

Essa política é usada no workspaces_DefaultRole, que o WorkSpaces usa para acessar os recursos necessários na conta da AWS do cliente do WorkSpaces Pools. Para obter mais informações, consulte Criar o perfil workspaces_DefaultRole. Ela fornece as seguintes permissões:

ec2: permite o acesso para gerenciar recursos do Amazon EC2 associados a um WorkSpaces Pool, como VPCs, sub-redes, zonas de disponibilidade, grupos de segurança e tabelas de rotas.
s3: permite o acesso para realizar ações nos buckets do Amazon S3 necessários para logs, configurações de aplicativos e o atributo da pasta inicial.

Commercial Regiões da AWS

A seguinte política JSON se aplica a Regiões da AWS comerciais.

JSON

JSON


{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ProvisioningWorkSpacesPoolPermissions",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeRouteTables",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "WorkSpacesPoolS3Permissions",
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:ListBucket",
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:GetObjectVersion",
                "s3:DeleteObjectVersion",
                "s3:GetBucketPolicy",
                "s3:PutBucketPolicy",
                "s3:PutEncryptionConfiguration"
            ],
            "Resource": [
                "arn:aws:s3:::wspool-logs-*",
                "arn:aws:s3:::wspool-app-settings-*",
                "arn:aws:s3:::wspool-home-folder-*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        }
    ]
}

AWS GovCloud (US) Regions

A seguinte política JSON se aplica a AWS GovCloud (US) Regions comerciais.

JSON

JSON


{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ProvisioningWorkSpacesPoolPermissions",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeRouteTables",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "WorkSpacesPoolS3Permissions",
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:ListBucket",
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:GetObjectVersion",
                "s3:DeleteObjectVersion",
                "s3:GetBucketPolicy",
                "s3:PutBucketPolicy",
                "s3:PutEncryptionConfiguration"
            ],
            "Resource": [
                "arn:aws-us-gov:s3:::wspool-logs-*",
                "arn:aws-us-gov:s3:::wspool-app-settings-*",
                "arn:aws-us-gov:s3:::wspool-home-folder-*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        }
    ]
}

Atualizações do WorkSpaces para políticas gerenciadas pela AWS

Visualize detalhes sobre atualizações em políticas gerenciadas pela AWS para o WorkSpaces desde que esse serviço começou a rastrear essas alterações.

Alteração	Descrição	Data
Política gerenciada pela AWS: AmazonWorkSpacesPoolServiceAccess: nova política adicionada	O WorkSpaces adicionou uma nova política gerenciada para conceder permissão para visualizar VPCs do Amazon EC2 e recursos relacionados, além de visualizar e gerenciar buckets do Amazon S3 para WorkSpaces Pools.	24 de junho de 2024
Política gerenciada pela AWS: AmazonWorkSpacesAdmin: política atualizada	O WorkSpaces adicionou diversas ações para os WorkSpaces Pools à política gerenciada do Amazon WorkSpacesAdmin, concedendo aos administradores acesso para gerenciar os recursos do WorkSpace Pool.	24 de junho de 2024
Política gerenciada pela AWS: AmazonWorkSpacesAdmin: política atualizada	O WorkSpaces adicionou a ação `workspaces:RestoreWorkspace` à política gerenciada AmazonWorkSpacesAdmin, concedendo aos administradores acesso para restaurar WorkSpaces.	25 de junho de 2023
Política gerenciada pela AWS: AmazonWorkspacesPCAAccess: nova política adicionada	O WorkSpaces adicionou uma nova política gerenciada para conceder permissão ao `acm-pca` para gerenciar o Private CA da AWS para gerenciar a autenticação baseada em certificados.	18 de novembro de 2022
O WorkSpaces começou a monitorar alterações	O WorkSpaces começou a monitorar as alterações das políticas gerenciadas pelo WorkSpaces.	1.º de março de 2021

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Gerenciamento de identidade e acesso

Acesso a WorkSpaces e scripts em instâncias de streaming