As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Segurança na Amazon WorkSpaces
A segurança na nuvem AWS é a maior prioridade. Como AWS cliente, você se beneficia de uma arquitetura de data center e rede criada para atender aos requisitos das organizações mais sensíveis à segurança.
A segurança é uma responsabilidade compartilhada entre você AWS e você. O [modelo de responsabilidade compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) descreve isso como segurança *da* nuvem e segurança *na* nuvem:
+ **Segurança da nuvem** — AWS é responsável por proteger a infraestrutura que executa AWS os serviços no Nuvem AWS. AWS também fornece serviços que você pode usar com segurança. Auditores terceirizados testam e verificam regularmente a eficácia de nossa segurança como parte dos Programas de Conformidade Programas de [AWS](https://aws.amazon.com/compliance/programs/) de . Para saber mais sobre os programas de conformidade que se aplicam à Amazon WorkSpaces, consulte [AWS Serviços no escopo do programa de conformidade AWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Segurança na nuvem** — Sua responsabilidade é determinada pelo AWS serviço que você usa. Você também é responsável por outros fatores, incluindo a confidencialidade dos dados, os requisitos da empresa e as leis e os regulamentos aplicáveis
Esta documentação ajuda você a entender como aplicar o modelo de responsabilidade compartilhada ao usar WorkSpaces. Os tópicos a seguir mostram como configurar para atender WorkSpaces aos seus objetivos de segurança e conformidade. Você também aprenderá a usar outros AWS serviços que ajudam a monitorar e proteger seus WorkSpaces recursos.
**Topics**
+ [Proteção de dados no Amazon WorkSpaces](data-protection.md)
+ [Gerenciamento de identidade e acesso para WorkSpaces](workspaces-access-control.md)
+ [Validação de conformidade para o Amazon WorkSpaces](compliance-validation.md)
+ [Resiliência no Amazon WorkSpaces](disaster-recovery-resiliency.md)
+ [Segurança de infraestrutura na Amazon WorkSpaces](infrastructure-security.md)
+ [Gerenciamento de atualizações no WorkSpaces](update-management.md)
# Proteção de dados no Amazon WorkSpaces
O [modelo de responsabilidade compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) da AWS se aplica à proteção de dados no Amazon WorkSpaces. Conforme descrito nesse modelo, a AWS é responsável por proteger a infraestrutura global que executa toda a Nuvem AWS. Você é responsável por manter o controle sobre o conteúdo hospedado nessa infraestrutura. Você também é responsável pelas tarefas de configuração e gerenciamento de segurança dos Serviços da AWS que usa. Para obter mais informações sobre a privacidade de dados, consulte as [Data Privacy FAQ](https://aws.amazon.com/compliance/data-privacy-faq/). Para obter mais informações sobre a proteção de dados na Europa, consulte a postagem do blog [AWS Shared Responsibility Model and RGPD](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) no *Blog de segurança da AWS*.
Para fins de proteção de dados, recomendamos que você proteja as credenciais da Conta da AWS e configure as contas de usuário individuais com Centro de Identidade do AWS IAM ou AWS Identity and Access Management (IAM). Dessa maneira, cada usuário receberá apenas as permissões necessárias para cumprir suas obrigações de trabalho. Recomendamos também que você proteja seus dados das seguintes formas:
+ Use uma autenticação multifator (MFA) com cada conta.
+ Use SSL/TLS para se comunicar com os recursos da AWS. Exigimos TLS 1.2 e recomendamos TLS 1.3.
+ Configure os logs de API e atividade do usuário com AWS CloudTrail. Para obter informações sobre como usar as trilhas do CloudTrail para capturar atividades da AWS, consulte [Working with CloudTrail trails](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) no *Guia do usuário do AWS CloudTrail*.
+ Use as soluções de criptografia AWS, juntamente com todos os controles de segurança padrão em Serviços da AWS.
+ Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a localizar e proteger dados sigilosos armazenados no Amazon S3.
+ Se você precisar de módulos criptográficos validados pelo FIPS 140-3 ao acessar a AWS por meio de uma interface de linha de comandos ou de uma API, use um endpoint do FIPS. Para obter mais informações sobre os endpoints FIPS disponíveis, consulte [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
É altamente recomendável que nunca sejam colocadas informações confidenciais ou sigilosas, como endereços de e-mail de clientes, em tags ou campos de formato livre, como um campo **Nome**. Isso inclui trabalhar com o WorkSpaces ou outros Serviços da AWS usando o console, a API, o AWS CLI ou os SDKs da AWS. Quaisquer dados inseridos em tags ou em campos de texto de formato livre usados para nomes podem ser usados para logs de faturamento ou de diagnóstico. Se você fornecer um URL para um servidor externo, é fortemente recomendável que não sejam incluídas informações de credenciais no URL para validar a solicitação nesse servidor.
Para obter mais informações sobre WorkSpaces e criptografia de endpoints FIPS, consulte [Configure a autorização do FedRAMP ou a conformidade com o SRG do DoD para pessoal WorkSpaces](fips-encryption.md).
## Criptografia em repouso
Você pode criptografar os volumes de armazenamento dos WorkSpaces usando a chave AWS KMS do AWS Key Management Service. Para obter mais informações, consulte [Criptografado WorkSpaces em WorkSpaces Pessoal](encrypt-workspaces.md).
Quando você cria WorkSpaces com volumes criptografados, o WorkSpaces usa o Amazon Elastic Block Store (Amazon EBS) para criar e gerenciar esses volumes. O EBS criptografa os volumes com uma chave de dados usando o algoritmo AES-256 padrão do setor. Para obter mais informações, consulte [Amazon EBS Encryption](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html) no *Guia do usuário do Amazon EC2*.
## Criptografia em trânsito
Para o PCoIP, os dados em trânsito são criptografados usando a criptografia TLS 1.2 e a assinatura de solicitação SigV4. O protocolo PCoIP usa tráfego UDP criptografado, com criptografia AES, para streaming de pixels. A conexão de streaming, usando a porta 4172 (TCP e UDP), é criptografada usando cifras AES-128 e AES-256, mas o padrão de criptografia é de 128 bits. Você pode alterar esse padrão para 256 bits usando a configuração de política de grupo **Definir configurações de segurança do PCoIP** para WorkSpaces do Windows ou modificando as **configurações de segurança do PCoIP** no arquivo `pcoip-agent.conf` para WorkSpaces do Amazon Linux.
Para saber mais sobre a administração de política de grupo para Amazon WorkSpaces, consulte [Definir configurações de segurança PCo IP](group_policy.md#gp_security) em [Gerencie seu Windows WorkSpaces no WorkSpaces Personal](group_policy.md). Para saber mais sobre a modificação do arquivo `pcoip-agent.conf`, consulte [Controle o comportamento do PCo IP Agent no Amazon Linux WorkSpaces](manage_linux_workspace.md#pcoip_agent_linux) e [PCoIP Security Settings](https://www.teradici.com/web-help/pcoip_agent/standard_agent/linux/21.03/admin-guide/configuring/configuring/#pcoip-security-settings) na documentação do Teradici.
Para o DCV, os dados em trânsito de streaming e controle são criptografados usando criptografia TLS 1.3 para tráfego UDP e criptografia TLS 1.2 para tráfego TCP, com cifras AES-256.
# Gerenciamento de identidade e acesso para WorkSpaces
Por padrão, os usuários do IAM não têm permissões para WorkSpaces recursos e operações. Para permitir que os usuários do IAM gerenciem WorkSpaces recursos, você deve criar uma política do IAM que conceda permissões explicitamente e anexar a política aos usuários ou grupos do IAM que exigem essas permissões.
**nota**
A Amazon WorkSpaces não oferece suporte ao provisionamento de credenciais do IAM em um WorkSpace (como com um perfil de instância).
Para conceder acesso, adicione as permissões aos seus usuários, grupos ou perfis:
+ Usuários e grupos em Centro de Identidade do AWS IAM:
Crie um conjunto de permissões. Siga as instruções em [Criação de um conjunto de permissões](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.
+ Usuários gerenciados no IAM com provedor de identidades:
Crie um perfil para a federação de identidades. Siga as instruções em [Criando um perfil para um provedor de identidades de terceiros (federação)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) no *Guia do Usuário do IAM*.
+ Usuários do IAM:
+ Crie um perfil que seu usuário possa assumir. Siga as instruções em [Criação de um perfil para um usuário do IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) no *Guia do usuário do IAM*.
+ (Não recomendado) Vincule uma política diretamente a um usuário ou adicione um usuário a um grupo de usuários. Siga as instruções em [Adição de permissões a um usuário (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) no *Guia do usuário do IAM*.
A seguir estão os recursos adicionais para o IAM:
+ Para obter mais informações gerais sobre as políticas do IAM, consulte [Permissões e políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) no *Guia do usuário do IAM*.
+ Para obter mais informações sobre o IAM, consulte [Identity and Access Management (IAM)](https://aws.amazon.com/iam) e o [https://docs.aws.amazon.com/IAM/latest/UserGuide/](https://docs.aws.amazon.com/IAM/latest/UserGuide/).
+ Para obter mais informações sobre recursos, ações e chaves de contexto de condição WorkSpaces específicos para uso nas políticas de permissão do IAM, consulte [Ações, recursos e chaves de condição para a Amazon WorkSpaces](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonworkspaces.html) no *Guia do usuário do IAM*.
+ Para obter uma ferramenta que ajuda a criar políticas do IAM, consulte o [AWS Policy Generator](https://aws.amazon.com/blogs/aws/aws-policy-generator/). Também é possível usar o [simulador de políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UsingPolicySimulatorGuide/) para testar se uma política permitiria ou negaria uma solicitação específica à AWS.
**Topics**
+ [Exemplo de política](#workspaces-example-iam-policies)
+ [Especificar WorkSpaces recursos em uma política do IAM](#wsp_iam_resource)
+ [Crie os espaços de trabalho\$1 Role DefaultRole](#create-default-role)
+ [Crie a função AmazonWorkSpaces PCAAccess de serviço](#create-pca-access-role)
+ [AWS políticas gerenciadas para WorkSpaces](managed-policies.md)
+ [Acesso WorkSpaces e scripts em instâncias de streaming](using-iam-roles-to-grant-permissions-to-applications-scripts-streaming-instances.md)
+ [Referência de permissões de operações do Amazon WorkSpaces Console](wsp-console-permissions-ref.md)
## Exemplo de política
Os exemplos a seguir mostram declarações de política que você pode usar para controlar as permissões que os usuários do IAM têm na Amazon WorkSpaces.
### Exemplo 1: Conceder acesso para realizar tarefas WorkSpaces pessoais e de grupos
A declaração de política a seguir concede permissão ao usuário do IAM para realizar tarefas WorkSpaces pessoais e de grupos.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:*",
"workspaces:*",
"application-autoscaling:DeleteScalingPolicy",
"application-autoscaling:DeleteScheduledAction",
"application-autoscaling:DeregisterScalableTarget",
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"application-autoscaling:PutScalingPolicy",
"application-autoscaling:PutScheduledAction",
"application-autoscaling:RegisterScalableTarget",
"cloudwatch:DeleteAlarms",
"cloudwatch:DescribeAlarms",
"cloudwatch:PutMetricAlarm",
"ec2:AssociateRouteTable",
"ec2:AttachInternetGateway",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateInternetGateway",
"ec2:CreateNetworkInterface",
"ec2:CreateRoute",
"ec2:CreateRouteTable",
"ec2:CreateSecurityGroup",
"ec2:CreateSubnet",
"ec2:CreateTags",
"ec2:CreateVpc",
"ec2:DeleteNetworkInterface",
"ec2:DeleteSecurityGroup",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeInternetGateways",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"iam:AttachRolePolicy",
"iam:CreatePolicy",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:PutRolePolicy",
"kms:ListAliases",
"kms:ListKeys",
"secretsmanager:ListSecrets",
"tag:GetResources",
"sso-directory:SearchUsers",
"sso:CreateApplication",
"sso:DeleteApplication",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:GetApplicationGrant",
"sso:ListInstances",
"sso:PutApplicationAssignmentConfiguration",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "workspaces.amazonaws.com"
}
}
}
]
}
```
------
### Exemplo 2: Conceder acesso para realizar tarefas WorkSpaces pessoais
A declaração de política a seguir concede permissão ao usuário do IAM para realizar todas as tarefas WorkSpaces pessoais.
Embora a Amazon ofereça suporte WorkSpaces total aos `Resource` elementos `Action` e ao usar a API e as ferramentas de linha de comando, para usar a Amazon a WorkSpaces partir do Console de gerenciamento da AWS, um usuário do IAM deve ter permissões para as seguintes ações e recursos:
+ Ações: `"ds:*"`
+ Recursos: `"Resource": "*"`
O exemplo de política a seguir mostra como permitir que um usuário do IAM use a Amazon a WorkSpaces partir do Console de gerenciamento da AWS.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"workspaces:*",
"ds:*",
"iam:GetRole",
"iam:CreateRole",
"iam:PutRolePolicy",
"iam:CreatePolicy",
"iam:AttachRolePolicy",
"iam:ListRoles",
"kms:ListAliases",
"kms:ListKeys",
"ec2:CreateVpc",
"ec2:CreateSubnet",
"ec2:CreateNetworkInterface",
"ec2:CreateInternetGateway",
"ec2:CreateRouteTable",
"ec2:CreateRoute",
"ec2:CreateTags",
"ec2:CreateSecurityGroup",
"ec2:DescribeInternetGateways",
"ec2:DescribeSecurityGroups",
"ec2:DescribeRouteTables",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeAvailabilityZones",
"ec2:AttachInternetGateway",
"ec2:AssociateRouteTable",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:DeleteSecurityGroup",
"ec2:DeleteNetworkInterface",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"secretsmanager:ListSecrets",
"sso-directory:SearchUsers",
"sso:CreateApplication",
"sso:DeleteApplication",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:GetApplicationGrant",
"sso:ListInstances",
"sso:PutApplicationAssignmentConfiguration",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "workspaces.amazonaws.com"
}
}
}
]
}
```
------
### Exemplo 3: Conceder acesso para realizar tarefas de WorkSpaces pools
A declaração de política a seguir concede a um usuário do IAM permissão para realizar todas as tarefas do WorkSpaces Pools.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"workspaces:*",
"application-autoscaling:DeleteScalingPolicy",
"application-autoscaling:DeleteScheduledAction",
"application-autoscaling:DeregisterScalableTarget",
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"application-autoscaling:PutScalingPolicy",
"application-autoscaling:PutScheduledAction",
"application-autoscaling:RegisterScalableTarget",
"cloudwatch:DeleteAlarms",
"cloudwatch:DescribeAlarms",
"cloudwatch:PutMetricAlarm",
"ec2:CreateSecurityGroup",
"ec2:CreateTags",
"ec2:DescribeInternetGateways",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"iam:AttachRolePolicy",
"iam:CreatePolicy",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:PutRolePolicy",
"secretsmanager:ListSecrets",
"tag:GetResources"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "workspaces.amazonaws.com"
}
}
},
{
"Action": "iam:CreateServiceLinkedRole",
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/aws-service-role/workspaces.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_WorkSpacesPool",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "workspaces.application-autoscaling.amazonaws.com"
}
}
}
]
}
```
------
### Exemplo 4: Executar todas as WorkSpaces tarefas para BYOL WorkSpaces
A declaração de política a seguir concede a um usuário do IAM permissão para realizar todas as WorkSpaces tarefas, incluindo as tarefas do Amazon EC2 necessárias para criar Bring Your Own License (BYOL). WorkSpaces
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:*",
"workspaces:*",
"ec2:AssociateRouteTable",
"ec2:AttachInternetGateway",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateInternetGateway",
"ec2:CreateNetworkInterface",
"ec2:CreateRoute",
"ec2:CreateRouteTable",
"ec2:CreateSecurityGroup",
"ec2:CreateSubnet",
"ec2:CreateTags",
"ec2:CreateVpc",
"ec2:DeleteNetworkInterface",
"ec2:DeleteSecurityGroup",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeImages",
"ec2:DescribeInternetGateways",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:ModifyImageAttribute",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"iam:CreateRole",
"iam:GetRole",
"iam:PutRolePolicy",
"kms:ListAliases",
"kms:ListKeys"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "workspaces.amazonaws.com"
}
}
}
]
}
```
------
## Especificar WorkSpaces recursos em uma política do IAM
Para especificar um WorkSpaces recurso no `Resource` elemento da declaração de política, use o Amazon Resource Name (ARN) do recurso. Você controla o acesso aos seus WorkSpaces recursos ao permitir ou negar permissões para usar as ações de API especificadas no `Action` elemento da sua declaração de política do IAM. WorkSpaces define ARNs para WorkSpaces, pacotes, grupos IP e diretórios.
### WorkSpace ARN
Um WorkSpace ARN tem a sintaxe mostrada no exemplo a seguir.
```
arn:aws:workspaces:region:account_id:workspace/workspace_identifier
```
*region*
A região em que o WorkSpace está (por exemplo,`us-east-1`).
*account\$1id*
O ID da AWS conta, sem hífens (por exemplo,`123456789012`).
*workspace\$1identifier*
O ID do WorkSpace (por exemplo,`ws-a1bcd2efg`).
A seguir está o formato do `Resource` elemento de uma declaração de política que identifica um elemento específico WorkSpace.
```
"Resource": "arn:aws:workspaces:region:account_id:workspace/workspace_identifier"
```
Você pode usar o `*` curinga para especificar tudo o WorkSpaces que pertence a uma conta específica em uma região específica.
### WorkSpace ARN da piscina
Um ARN de WorkSpace pool tem a sintaxe mostrada no exemplo a seguir.
```
arn:aws:workspaces:region:account_id:workspacespool/workspacespool_identifier
```
*region*
A região em que o WorkSpace está (por exemplo,`us-east-1`).
*account\$1id*
O ID da AWS conta, sem hífens (por exemplo,`123456789012`).
*espaço de trabalho\$1pool\$1identifier*
O ID do WorkSpace pool (por exemplo,`ws-a1bcd2efg`).
A seguir está o formato do `Resource` elemento de uma declaração de política que identifica um elemento específico WorkSpace.
```
"Resource": "arn:aws:workspaces:region:account_id:workspacespool/workspacespool_identifier"
```
Você pode usar o `*` curinga para especificar tudo o WorkSpaces que pertence a uma conta específica em uma região específica.
### ARN de certificado.
Um ARN de WorkSpace certificado tem a sintaxe mostrada no exemplo a seguir.
```
arn:aws:workspaces:region:account_id:workspacecertificate/workspacecertificateidentifier
```
*region*
A região em que o WorkSpace está (por exemplo,`us-east-1`).
*account\$1id*
O ID da AWS conta, sem hífens (por exemplo,`123456789012`).
*workspacecertificate\$1identifier*
O ID do WorkSpace certificado (por exemplo,`ws-a1bcd2efg`).
A seguir está o formato do `Resource` elemento de uma declaração de política que identifica um WorkSpace certificado específico.
```
"Resource": "arn:aws:workspaces:region:account_id:workspacecertificate/workspacecertificate_identifier"
```
Você pode usar o `*` curinga para especificar tudo o WorkSpaces que pertence a uma conta específica em uma região específica.
### ARN de imagem
Um ARN de WorkSpace imagem tem a sintaxe mostrada no exemplo a seguir.
```
arn:aws:workspaces:region:account_id:workspaceimage/image_identifier
```
*region*
A região em que a WorkSpace imagem está (por exemplo,`us-east-1`).
*account\$1id*
O ID da AWS conta, sem hífens (por exemplo,`123456789012`).
*bundle\$1identifier*
O ID da WorkSpace imagem (por exemplo,`wsi-a1bcd2efg`).
Veja a seguir o formato do elemento `Resource` de uma declaração de política que identifica uma imagem específica.
```
"Resource": "arn:aws:workspaces:region:account_id:workspaceimage/image_identifier"
```
É possível usar o caractere curinga `*` para especificar todas as imagens que pertencem a uma conta específica em determinada região.
### ARN de pacote
Um ARN de pacote tem a sintaxe mostrada no exemplo a seguir.
```
arn:aws:workspaces:region:account_id:workspacebundle/bundle_identifier
```
*region*
A região em que o WorkSpace está (por exemplo,`us-east-1`).
*account\$1id*
O ID da AWS conta, sem hífens (por exemplo,`123456789012`).
*bundle\$1identifier*
O ID do WorkSpace pacote (por exemplo,`wsb-a1bcd2efg`).
Veja a seguir o formato do elemento `Resource` de uma declaração de política que identifica um pacote específico.
```
"Resource": "arn:aws:workspaces:region:account_id:workspacebundle/bundle_identifier"
```
É possível usar o caractere curinga `*` para especificar todos os pacotes que pertencem a uma conta específica em determinada região.
### ARN do grupo de IP
Um ARN de grupo IP tem a sintaxe mostrada no exemplo a seguir.
```
arn:aws:workspaces:region:account_id:workspaceipgroup/ipgroup_identifier
```
*region*
A região em que o WorkSpace está (por exemplo,`us-east-1`).
*account\$1id*
O ID da AWS conta, sem hífens (por exemplo,`123456789012`).
*ipgroup\$1identifier*
O ID do grupo de IP (por exemplo, `wsipg-a1bcd2efg`).
Veja a seguir o formato do elemento `Resource` de uma declaração de política que identifica um grupo de IP específico.
```
"Resource": "arn:aws:workspaces:region:account_id:workspaceipgroup/ipgroup_identifier"
```
É possível usar o caractere curinga `*` para especificar todos os grupos de IP que pertencem a uma conta específica determinada região.
### ARN do diretório
Um ARN de diretório tem a sintaxe mostrada no exemplo a seguir.
```
arn:aws:workspaces:region:account_id:directory/directory_identifier
```
*region*
A região em que o WorkSpace está (por exemplo,`us-east-1`).
*account\$1id*
O ID da AWS conta, sem hífens (por exemplo,`123456789012`).
*directory\$1identifier*
O ID do diretório (por exemplo, `d-12345a67b8`).
Veja a seguir o formato do elemento `Resource` de uma declaração de política que identifica um diretório específico.
```
"Resource": "arn:aws:workspaces:region:account_id:directory/directory_identifier"
```
É possível usar o caractere curinga `*` para especificar todos os diretórios que pertencem a uma conta específica em determinada região.
### ARN de alias de conexão
Um ARN de alias de conexão tem a sintaxe mostrada no exemplo a seguir.
```
arn:aws:workspaces:region:account_id:connectionalias/connectionalias_identifier
```
*region*
A região em que o alias da conexão está (por exemplo, `us-east-1`).
*account\$1id*
O ID da AWS conta, sem hífens (por exemplo,`123456789012`).
*connectionalias\$1identifier*
O ID do alias de conexão (por exemplo, `wsca-12345a67b8`).
Veja a seguir o formato do elemento `Resource` de uma declaração de política que identifica um alias de conexão específico.
```
"Resource": "arn:aws:workspaces:region:account_id:connectionalias/connectionalias_identifier"
```
É possível usar o caractere curinga `*` para especificar todos os alias de conexão que pertencem a uma conta específica em determinada região.
### Ações da API sem suporte de permissões no nível de recurso
Você não pode especificar um ARN de recurso com as seguintes ações de API:
+ `AssociateIpGroups`
+ `CreateIpGroup`
+ `CreateTags`
+ `DeleteTags`
+ `DeleteWorkspaceImage`
+ `DescribeAccount`
+ `DescribeAccountModifications`
+ `DescribeIpGroups`
+ `DescribeTags`
+ `DescribeWorkspaceDirectories`
+ `DescribeWorkspaceImages`
+ `DescribeWorkspaces`
+ `DescribeWorkspacesConnectionStatus`
+ `DisassociateIpGroups`
+ `ImportWorkspaceImage`
+ `ListAvailableManagementCidrRanges`
+ `ModifyAccount`
Para ações de API que não oferecem suporte a permissões no nível de recurso, é necessário especificar a instrução de recurso mostrada no exemplo a seguir.
```
"Resource": "*"
```
### Ações de API que não oferecem suporte a restrições no nível de conta em recursos compartilhados
Para as seguintes ações da API, você não pode especificar um ID de conta no ARN do recurso quando o recurso não é de propriedade da conta:
+ `AssociateConnectionAlias`
+ `CopyWorkspaceImage`
+ `DisassociateConnectionAlias`
Para essas ações da API, você pode especificar um ID de conta no ARN do recurso somente quando essa conta é a proprietária dos recursos a serem usados. Quando a conta não é a proprietária dos recursos, você deve especificar `*` para o ID da conta, conforme mostrado no exemplo a seguir.
```
"arn:aws:workspaces:region:*:resource_type/resource_identifier"
```
## Crie os espaços de trabalho\$1 Role DefaultRole
Antes de registrar um diretório usando a API, você deve verificar se existe um perfil chamado `workspaces_DefaultRole`. Essa função é criada pela Configuração rápida ou se você iniciar uma WorkSpace usando a Console de gerenciamento da AWS, e concede à Amazon WorkSpaces permissão para acessar AWS recursos específicos em seu nome. Se esse perfil não existir, você poderá criá-lo usando o procedimento a seguir.
**Para criar a função workspaces\$1 DefaultRole**
1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação à esquerda, escolha **Roles (Funções)**.
1. Selecione **Criar perfil**.
1. Em **Selecionar tipo de entidade confiável**, selecione **Outra conta da AWS **.
1. Em **ID da conta**, insira seu ID de conta sem hífens ou espaços.
1. Em **Opções**, não especifique a autenticação multifator (MFA).
1. Escolha **Próximo: Permissões**.
1. Na página **Anexar políticas de permissões**, selecione as políticas AWS gerenciadas **AmazonWorkSpacesServiceAccess**AmazonWorkSpacesSelfServiceAccess****, **AmazonWorkSpacesPoolServiceAccess**e. Para obter mais informações sobre políticas gerenciadas, consulte [AWS políticas gerenciadas para WorkSpaces](managed-policies.md).
1. Em **Definir limite de permissões**, recomendamos que você não use um limite de permissões devido ao potencial para conflitos com as políticas anexadas à esse perfil. Tais conflitos podem bloquear determinadas permissões necessárias para a função.
1. Escolha **Próximo: tags**.
1. Na página **Adicionar tags (opcional)**, adicione tags se necessário.
1. Selecione **Próximo: revisar**.
1. Na página **Revisar**, em **Nome da função**, insira **workspaces\$1DefaultRole**.
1. (Opcional ) Em **Descrição da função**, insira uma descrição.
1. Selecione **Criar função**.
1. Na página **Resumo** da DefaultRole função workspaces\$1, escolha a guia Relações de **confiança**.
1. Na guia **Relações de confiança**, escolha **Editar relação de confiança**.
1. Na página **Editar relação de confiança**, substitua a declaração de política existente pela declaração a seguir.
```
{
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "workspaces.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
1. Selecione **Atualizar política de confiança**.
## Crie a função AmazonWorkSpaces PCAAccess de serviço
Antes que os usuários possam fazer login usando a autenticação baseada em certificado, você deve verificar se existe um perfil chamado `AmazonWorkSpacesPCAAccess`. Essa função é criada quando você habilita a autenticação baseada em certificado em um diretório usando o. Ela Console de gerenciamento da AWS concede à Amazon WorkSpaces permissão para acessar CA Privada da AWS recursos em seu nome. Se esse perfil não existir porque você não está usando o console para gerenciar a autenticação baseada em certificado, você poderá criá-lo usando o procedimento a seguir.
**Para criar a função AmazonWorkSpaces PCAAccess de serviço usando o AWS CLI**
1. Crie um arquivo JSON denominado `AmazonWorkSpacesPCAAccess.json` com o texto a seguir.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "prod.euc.ecm.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Ajuste o `AmazonWorkSpacesPCAAccess.json` caminho conforme necessário e execute os AWS CLI comandos a seguir para criar a função de serviço e anexar a política [AmazonWorkspacesPCAAccess](managed-policies.md#workspaces-pca-access)gerenciada.
```
aws iam create-role --path /service-role/ --role-name AmazonWorkSpacesPCAAccess --assume-role-policy-document file://AmazonWorkSpacesPCAAccess.json
```
```
aws iam attach-role-policy —role-name AmazonWorkSpacesPCAAccess —policy-arn arn:aws:iam::aws:policy/AmazonWorkspacesPCAAccess
```
# AWS políticas gerenciadas para WorkSpaces
O uso de políticas AWS gerenciadas facilita a adição de permissões a usuários, grupos e funções do que a criação de políticas por conta própria. É necessário tempo e experiência para criar [políticas gerenciadas pelo cliente do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) que fornecem à sua equipe apenas as permissões de que precisam. Use políticas AWS gerenciadas para começar rapidamente. Essas políticas abrangem casos de uso comuns e estão disponíveis em sua AWS conta. Para obter mais informações sobre políticas AWS gerenciadas, consulte [políticas AWS gerenciadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.
AWS os serviços mantêm e atualizam as políticas AWS gerenciadas. Você não pode alterar as permissões nas políticas AWS gerenciadas. Ocasionalmente, os serviços podem adicionar permissões adicionais a uma política AWS gerenciada para oferecer suporte a novos recursos. Esse tipo de atualização afeta todas as identidades (usuários, grupos e funções) em que a política está anexada. É mais provável que os serviços atualizem uma política AWS gerenciada quando um novo recurso é lançado ou quando novas operações são disponibilizadas. Os serviços não removem as permissões de uma política AWS gerenciada, portanto, as atualizações de políticas não violarão suas permissões existentes.
Além disso, AWS oferece suporte a políticas gerenciadas para funções de trabalho que abrangem vários serviços. Por exemplo, a política `ReadOnlyAccess` AWS gerenciada fornece acesso somente de leitura a todos os AWS serviços e recursos. Quando um serviço inicia um novo atributo, a AWS adiciona permissões somente leitura para novas operações e atributos. Para obter uma lista e descrições das políticas de perfis de trabalho, consulte [Políticas gerenciadas pela AWS para perfis de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) no *Guia do usuário do IAM*.
## AWS política gerenciada: AmazonWorkSpacesAdmin
**nota**
As permissões listadas são somente para o SDK e não funcionarão no console. O console exige permissões adicionais listadas na [referência de permissões de operações WorkSpaces do Amazon Console](wsp-console-permissions-ref.md).
Essa política fornece acesso às ações WorkSpaces administrativas da Amazon. Ela fornece as seguintes permissões:
+ `workspaces`- Permite o acesso para realizar ações administrativas em recursos WorkSpaces pessoais e de WorkSpaces grupos.
+ `kms`: permite o acesso para listar e descrever chaves do KMS, bem como listar aliases.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonWorkSpacesAdmin",
"Effect": "Allow",
"Action": [
"kms:DescribeKey",
"kms:ListAliases",
"kms:ListKeys",
"workspaces:CreateTags",
"workspaces:CreateWorkspaceImage",
"workspaces:CreateWorkspaces",
"workspaces:CreateWorkspacesPool",
"workspaces:CreateStandbyWorkspaces",
"workspaces:DeleteTags",
"workspaces:DeregisterWorkspaceDirectory",
"workspaces:DescribeTags",
"workspaces:DescribeWorkspaceBundles",
"workspaces:DescribeWorkspaceDirectories",
"workspaces:DescribeWorkspaces",
"workspaces:DescribeWorkspacesPools",
"workspaces:DescribeWorkspacesPoolSessions",
"workspaces:DescribeWorkspacesConnectionStatus",
"workspaces:ModifyCertificateBasedAuthProperties",
"workspaces:ModifySamlProperties",
"workspaces:ModifyStreamingProperties",
"workspaces:ModifyWorkspaceCreationProperties",
"workspaces:ModifyWorkspaceProperties",
"workspaces:RebootWorkspaces",
"workspaces:RebuildWorkspaces",
"workspaces:RegisterWorkspaceDirectory",
"workspaces:RestoreWorkspace",
"workspaces:StartWorkspaces",
"workspaces:StartWorkspacesPool",
"workspaces:StopWorkspaces",
"workspaces:StopWorkspacesPool",
"workspaces:TerminateWorkspaces",
"workspaces:TerminateWorkspacesPool",
"workspaces:TerminateWorkspacesPoolSession",
"workspaces:UpdateWorkspacesPool"
],
"Resource": "*"
}
]
}
```
------
## AWS política gerenciada: AmazonWorkspaces PCAAccess
Essa política gerenciada fornece acesso aos AWS recursos da Autoridade de Certificação Privada (CA Privada) do Certificate Manager em sua AWS conta para autenticação baseada em certificado. Ela está incluída na AmazonWorkSpaces PCAAccess função e fornece as seguintes permissões:
+ `acm-pca`- Permite acesso à CA AWS privada para gerenciar a autenticação baseada em certificados.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"acm-pca:IssueCertificate",
"acm-pca:GetCertificate",
"acm-pca:DescribeCertificateAuthority"
],
"Resource": "arn:*:acm-pca:*:*:*",
"Condition": {
"StringLike": {
"aws:ResourceTag/euc-private-ca": "*"
}
}
}
]
}
```
------
## AWS política gerenciada: AmazonWorkSpacesSelfServiceAccess
Essa política fornece acesso ao WorkSpaces serviço da Amazon para realizar ações de WorkSpaces autoatendimento iniciadas por um usuário. Ela está incluída no perfil `workspaces_DefaultRole` e fornece as seguintes permissões:
+ `workspaces`- Permite o acesso aos recursos de WorkSpaces gerenciamento de autoatendimento para os usuários.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"workspaces:RebootWorkspaces",
"workspaces:RebuildWorkspaces",
"workspaces:ModifyWorkspaceProperties"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## AWS política gerenciada: AmazonWorkSpacesServiceAccess
Esta política fornece acesso à conta do cliente ao WorkSpaces serviço da Amazon para o lançamento de um WorkSpace. Ela está incluída no perfil `workspaces_DefaultRole` e fornece as seguintes permissões:
+ `ec2`- Permite o acesso para gerenciar recursos do Amazon EC2 associados a um WorkSpace, como interfaces de rede.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface",
"ec2:DescribeNetworkInterfaces"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## AWS política gerenciada: AmazonWorkSpacesPoolServiceAccess
Essa política é usada no workspaces\$1DefaultRole, WorkSpaces usado para acessar os recursos necessários na AWS conta do cliente do Pools. WorkSpaces Para obter mais informações, consulte [Crie os espaços de trabalho\$1 Role DefaultRole](workspaces-access-control.md#create-default-role). Ela fornece as seguintes permissões:
+ `ec2`- Permite o acesso para gerenciar recursos do Amazon EC2 associados a um WorkSpaces pool, como sub-redes VPCs, zonas de disponibilidade, grupos de segurança e tabelas de rotas.
+ `s3`: permite o acesso para realizar ações nos buckets do Amazon S3 necessários para logs, configurações de aplicativos e o atributo da pasta inicial.
------
#### [ Commercial Regiões da AWS ]
A seguinte política JSON se aplica ao comercial Regiões da AWS.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ProvisioningWorkSpacesPoolPermissions",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSecurityGroups",
"ec2:DescribeRouteTables",
"s3:ListAllMyBuckets"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "WorkSpacesPoolS3Permissions",
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:ListBucket",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetObjectVersion",
"s3:DeleteObjectVersion",
"s3:GetBucketPolicy",
"s3:PutBucketPolicy",
"s3:PutEncryptionConfiguration"
],
"Resource": [
"arn:aws:s3:::wspool-logs-*",
"arn:aws:s3:::wspool-app-settings-*",
"arn:aws:s3:::wspool-home-folder-*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
------
#### [ AWS GovCloud (US) Regions ]
A seguinte política JSON se aplica a AWS GovCloud (US) Regions comerciais.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ProvisioningWorkSpacesPoolPermissions",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSecurityGroups",
"ec2:DescribeRouteTables",
"s3:ListAllMyBuckets"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "WorkSpacesPoolS3Permissions",
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:ListBucket",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetObjectVersion",
"s3:DeleteObjectVersion",
"s3:GetBucketPolicy",
"s3:PutBucketPolicy",
"s3:PutEncryptionConfiguration"
],
"Resource": [
"arn:aws-us-gov:s3:::wspool-logs-*",
"arn:aws-us-gov:s3:::wspool-app-settings-*",
"arn:aws-us-gov:s3:::wspool-home-folder-*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
------
## WorkSpaces atualizações nas políticas AWS gerenciadas
Veja detalhes sobre as atualizações das políticas AWS gerenciadas WorkSpaces desde que esse serviço começou a rastrear essas alterações.
| Alteração | Descrição | Data |
| --- | --- | --- |
| [AWS política gerenciada: AmazonWorkSpacesPoolServiceAccess](#workspaces-pools-service-access): nova política adicionada | WorkSpaces adicionou uma nova política gerenciada para conceder permissão para visualizar o Amazon EC2 VPCs e recursos relacionados e para visualizar e gerenciar buckets do Amazon S3 para pools. WorkSpaces | 24 de junho de 2024 |
| [AWS política gerenciada: AmazonWorkSpacesAdmin](#workspaces-admin): Atualizar política | WorkSpaces adicionou várias ações para WorkSpaces Pools à política WorkSpacesAdmin gerenciada da Amazon, concedendo aos administradores acesso para gerenciar WorkSpace os recursos do Pool. | 24 de junho de 2024 |
| [AWS política gerenciada: AmazonWorkSpacesAdmin](#workspaces-admin): Atualizar política | WorkSpaces adicionou a workspaces:RestoreWorkspace ação à política WorkSpacesAdmin gerenciada da Amazon, concedendo aos administradores acesso para restaurar. WorkSpaces | 25 de junho de 2023 |
| [AWS política gerenciada: AmazonWorkspaces PCAAccess](#workspaces-pca-access): nova política adicionada | WorkSpaces adicionou uma nova política gerenciada para conceder acm-pca permissão para gerenciar a CA AWS privada para gerenciar a autenticação baseada em certificados. | 18 de novembro de 2022 |
| WorkSpaces começou a rastrear as alterações | WorkSpaces começou a rastrear as mudanças em suas políticas WorkSpaces gerenciadas. | 1.º de março de 2021 |
# Acesso WorkSpaces e scripts em instâncias de streaming
Aplicativos e scripts executados em instâncias WorkSpaces de streaming devem incluir AWS credenciais em suas solicitações de AWS API. Você pode criar um perfil do IAM para gerenciar essas credenciais. Uma função do IAM especifica um conjunto de permissões que você pode usar para acessar AWS recursos. No entanto, essa função não está associada exclusivamente a uma pessoa. Em vez disso, ela pode ser assumida por qualquer pessoa que precise dela.
Você pode aplicar uma função do IAM a uma instância WorkSpaces de streaming. Quando a instância de streaming alterna para (assume) a função, a função fornece credenciais de segurança temporárias. Seu aplicativo ou scripts usam essas credenciais para realizar ações de API e tarefas de gerenciamento na instância de streaming. WorkSpaces gerencia a troca temporária de credenciais para você.
**Topics**
+ [Melhores práticas para usar funções do IAM com instâncias WorkSpaces de streaming](#best-practices-for-using-iam-role-with-streaming-instances)
+ [Configurando uma função do IAM existente para usar com instâncias WorkSpaces de streaming](#configuring-existing-iam-role-to-use-with-streaming-instances)
+ [Como criar uma função do IAM para usar com instâncias WorkSpaces de streaming](#how-to-create-iam-role-to-use-with-streaming-instances)
+ [Como usar a função do IAM com instâncias WorkSpaces de streaming](#how-to-use-iam-role-with-streaming-instances)
## Melhores práticas para usar funções do IAM com instâncias WorkSpaces de streaming
Ao usar funções do IAM com instâncias de WorkSpaces streaming, recomendamos que você siga estas práticas:
+ Limite as permissões que você concede às ações e recursos AWS da API.
Siga os princípios de menor privilégio ao criar e anexar políticas do IAM às funções do IAM associadas às instâncias WorkSpaces de streaming. Ao usar um aplicativo ou script que exija acesso às ações ou recursos da AWS API, determine as ações e os recursos específicos necessários. Crie políticas que permitam que o aplicativo ou o script execute somente essas ações. Para obter mais informações, consulte [Conceder privilégio mínimo](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) no *Guia do usuário do IAM*.
+ Crie uma função do IAM para cada WorkSpaces recurso.
Criar uma função exclusiva do IAM para cada WorkSpaces recurso é uma prática que segue os princípios de privilégios mínimos. Isso também permite que você modifique as permissões para um recurso sem afetar outros recursos.
+ Limite onde as credenciais podem ser usadas.
As políticas do IAM permitem que você defina as condições sob as quais seu perfil do IAM pode ser usado para acessar um recurso. Por exemplo, é possível incluir condições para especificar um intervalo de endereços IP dos quais as solicitações podem vir. Isso impede que as credenciais sejam usadas fora do seu ambiente. Para obter mais informações, consulte [Usar condições nas políticas para mais segurança](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#use-policy-conditions) no *Guia do usuário do IAM*.
## Configurando uma função do IAM existente para usar com instâncias WorkSpaces de streaming
Este tópico descreve como configurar uma função do IAM existente para que você possa usá-la com WorkSpaces .
**Pré-requisitos**
A função do IAM com a qual você deseja usar WorkSpaces deve atender aos seguintes pré-requisitos:
+ A função do IAM deve estar na mesma conta da Amazon Web Services que a instância WorkSpaces de streaming.
+ O perfil do IAM não pode ser um perfil de serviço.
+ A política de relacionamento de confiança anexada à função do IAM deve incluir o WorkSpaces serviço como principal. Um *diretor* é uma entidade AWS que pode realizar ações e acessar recursos. A política também deve incluir a ação `sts:AssumeRole`. Essa configuração de política é definida WorkSpaces como uma entidade confiável.
+ Se você estiver aplicando a função do IAM WorkSpaces, é WorkSpaces necessário executar uma versão do WorkSpaces agente lançada em ou após 3 de setembro de 2019. Se você estiver aplicando a função do IAM em WorkSpaces, é WorkSpaces necessário usar uma imagem que use uma versão do agente lançada na mesma data ou após ela.
**Para permitir que o responsável pelo WorkSpaces serviço assuma uma função existente do IAM**
Para executar as etapas a seguir, você deverá fazer login na conta como um usuário do IAM que tenha as permissões necessárias para listar e atualizar perfis do IAM. Se você não tiver as permissões necessárias, peça ao administrador da sua conta da Amazon Web Services para executar essas etapas na sua conta ou conceder as permissões necessárias.
1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação, selecione **Perfis**.
1. Na lista de funções em sua conta, escolha o nome da função que deseja modificar.
1. Escolha a guia **Relacionamentos de confiança** e, em seguida, selecione **Editar relacionamento de confiança**.
1. Em **Policy Document (Documento da política)**, verifique se a política de relacionamento de confiança inclui a ação `sts:AssumeRole` para o principal do serviço `workspaces.amazonaws.com`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"workspaces.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Ao concluir a edição da política de confiança, escolha **Atualizar política de confiança** para salvar as alterações.
1. A função do IAM que você selecionou será exibida no WorkSpaces console. Essa função concede permissões a aplicativos e scripts para executar ações de API e tarefas de gerenciamento nas instâncias de streaming.
## Como criar uma função do IAM para usar com instâncias WorkSpaces de streaming
Este tópico descreve como criar uma nova função do IAM para que você possa usá-la com WorkSpaces
1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação, escolha **Funções** e **Criar função**.
1. Em **Selecionar tipo de entidade confiável**, selecione **AWS serviço **.
1. Na lista de AWS serviços, escolha **WorkSpaces**.
1. Em **Selecionar seu caso de uso**, **WorkSpaces — Permite que WorkSpaces as instâncias liguem para AWS serviços em seu nome** já está selecionado. Escolha **Próximo: Permissões**.
1. Se possível, selecione a política a ser usada para a política de permissões ou escolha **Create policy (Criar política)** para abrir uma nova guia no navegador e criar uma nova política a partir do zero. Para obter mais informações, consulte a etapa 4 no procedimento [Criar políticas do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start) no *Guia do usuário do IAM*.
Depois de criar a política, feche essa guia e retorne à guia original. Marque a caixa de seleção ao lado das políticas de permissões que você WorkSpaces deseja ter.
1. (Opcional) Defina um limite de permissões. Esse é um atributo avançado que está disponível para perfis de serviço, mas não para perfis vinculados ao serviço. Para obter mais informações, consulte [Limites de permissões para entidades do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) no *Guia do usuário do IAM*.
1. Escolha **Próximo: tags**. Opcionalmente, você pode anexar tags como pares de chave/valor. Para obter mais informações, consulte [Recursos de etiquetas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) no *Guia do usuário do IAM*.
1. Escolha **Próximo: revisar**.
1. Em **Nome do perfil**, digite um nome de perfil exclusivo em sua conta da Amazon Web Services. Como outros AWS recursos podem fazer referência à função, você não pode editar o nome da função após sua criação.
1. Em **Role description (Descrição da função)**, mantenha a descrição da função padrão ou digite uma nova.
1. Reveja a função e escolha **Criar função**.
## Como usar a função do IAM com instâncias WorkSpaces de streaming
Depois de criar uma função do IAM, você pode aplicá-la WorkSpaces ao iniciar WorkSpaces. Você também pode aplicar uma função do IAM às existentes WorkSpaces.
Quando você aplica uma função do IAM WorkSpaces, WorkSpaces recupera credenciais temporárias e cria o perfil de credencial **workspaces\$1machine\$1role** na instância. As credenciais temporárias são válidas por 1 hora, e novas credenciais são recuperadas a cada hora. As credenciais anteriores não expiram, portanto, você poderá usá-las pelo tempo que forem válidas. Você pode usar o perfil de credencial para chamar AWS serviços de forma programática usando a Interface de Linha de AWS Comando (AWSCLI), o AWS Tools for PowerShell ou o AWS SDK com o idioma de sua escolha.
Ao fazer chamadas de API, especifique **workspaces\$1machine\$1role** como o perfil de credencial. Caso contrário, haverá falha na operação devido a permissões insuficientes.
WorkSpaces assume a função especificada enquanto a instância de streaming é provisionada. Como WorkSpaces usa a interface de rede elástica que está conectada à sua VPC para chamadas de AWS API, seu aplicativo ou script deve esperar que a interface de rede elástica fique disponível antes de fazer chamadas de AWS API. Se as chamadas de API forem feitas antes que a interface de rede elástica esteja disponível, haverá falha nas chamadas.
Os exemplos a seguir mostram como você pode usar o perfil de credencial **workspaces\$1machine\$1role** para descrever instâncias de streaming (EC2 instâncias) e criar o cliente Boto. Boto é o Amazon Web Services (AWS) SDK para Python.
**Descrever instâncias de streaming (EC2 instâncias) usando a AWS CLI**
```
aws ec2 describe-instances --region us-east-1 --profile workspaces_machine_role
```
**Descreva instâncias de streaming (EC2 instâncias) usando AWS ferramentas para PowerShell**
Você deve usar o AWS Tools para a PowerShell versão 3.3.563.1 ou posterior, com o SDK da Amazon Web Services para .NET versão 3.3.103.22 ou posterior. Você pode baixar o instalador do AWS Tools for Windows, que inclui o AWS Tools for PowerShell e o Amazon Web Services SDK for .NET, [AWSno site Tools PowerShell](https://aws.amazon.com/powershell/) for.
```
Get-EC2Instance -Region us-east-1 -ProfileName workspaces_machine_role
```
**Criando o cliente Boto usando o AWS SDK para Python**
```
session = boto3.Session(profile_name=workspaces_machine_role')
```
# Referência de permissões de operações do Amazon WorkSpaces Console
Algumas APIs do Amazon WorkSpaces só podem ser chamadas por meio do Console de gerenciamento da AWS. Elas não são APIs públicas, no sentido de que não podem ser chamadas programaticamente e não são fornecidas por nenhum SDK. Essas operações de API incluem:
+ workspaces:DirectoryAccessManagement
+ workspaces:CreateRootClientCertificate
+ workspaces:UpdateRootClientCertificate
+ workspaces:DeleteRootClientCertificate
+ workspaces:DescribeConsent
+ workspaces:UpdateConsent
## Operações do Console do WorkSpaces e permissões necessárias para ações
O console usa ações de API adicionais para seus recursos, pois as permissões para as APIs públicas do WorkSpaces talvez não sejam suficientes. Por exemplo, um usuário que tem permissões para usar a API [CreateWorkspaces](https://docs.aws.amazon.com/workspaces/latest/api/API_CreateWorkspaces.html) via CLI/SDK pode encontrar erros ao tentar criar um WorkSpace no console, pois estão faltando determinadas permissões para selecionar ou criar usuários. Esta tabela lista os recursos que estão disponíveis somente no console do WorkSpaces e as permissões adicionais necessárias que permitem que os usuários trabalhem com essas partes específicas do console.
A seção [Exemplos de políticas](https://docs.aws.amazon.com/workspaces/latest/adminguide/workspaces-access-control.html#workspaces-example-iam-policies) fornece a lista de permissões para realizar todas as tarefas do WorkSpaces para WorkSpaces Personal, Pools e BYOL.
Como alternativa, você também pode usar permissões granulares para aplicar permissões de privilégio mínimo para realizar uma tarefa.
Esta tabela lista os atributos do WorkSpaces Console que dependem das APIs que não são fornecidas pelo SDK e as permissões necessárias que permitem que os usuários trabalhem com essas partes específicas do console. Essas permissões devem ser adicionadas além de outras ações necessárias para as APIs fornecidas pelo SDK.
| Operações do WorkSpaces Console | Permissões obrigatórias |
| --- | --- |
| [Configuração rápida do WorkSpaces Personal](https://docs.aws.amazon.com/workspaces/latest/adminguide/managing-wsp-personal.html#getting-started) | workspaces:DirectoryAccessManagement ds:\$1 ec2:CreateVpc ec2:CreateSubnet ec2:CreateNetworkInterface ec2:CreateInternetGateway ec2:CreateRouteTable ec2:CreateRoute ec2:CreateTags ec2:CreateSecurityGroup ec2:DescribeInternetGateways ec2:DescribeSecurityGroups ec2:DescribeRouteTables ec2:DescribeVpcs ec2:DescribeSubnets ec2:DescribeNetworkInterfaces ec2:DescribeAvailabilityZones ec2:AttachInternetGateway ec2:AssociateRouteTable ec2:AuthorizeSecurityGroupIngress ec2:AuthorizeSecurityGroupEgress iam:CreateRole iam:GetRole iam:PutRolePolicy workspaces:DescribeAccount workspaces:DescribeWorkspaceDirectories workspaces:CreateWorkspaces workspaces:DescribeWorkspaces workspaces:RegisterWorkspaceDirectory workspaces:DescribeWorkspaceBundles workspaces:DescribeWorkspaces |
| [Restringir o acesso a WorkSpaces Personal para dispositivos confiáveis](https://docs.aws.amazon.com/workspaces/latest/adminguide/trusted-devices.html#configure-restriction) | workspaces:CreateRootClientCertificate workspaces:UpdateRootClientCertificate workspaces:DeleteRootClientCertificate ds:DescribeDirectories ec2:DescribeSubnets ec2:DescribeSecurityGroups workspaces:DescribeAccount workspaces:DescribeWorkspaceDirectories workspaces:DescribeTags workspaces:DescribeClientProperties workspaces:DescribeConnectClientAddins workspaces:DirectoryAccessManagement |
| [Criação de um WorkSpace no WorkSpaces Personal no console](https://docs.aws.amazon.com/workspaces/latest/adminguide/create-workspaces-personal.html): para criar/pesquisar/descrever usuários do diretório Directory Service | workspaces:DirectoryAccessManagement workspaces:DescribeAccount workspaces:CreateWorkspaces workspaces:DescribeWorkspaces workspaces:DescribeWorkspaceDirectories workspaces:DescribeWorkspaceBundles workspaces:DescribeTags workspaces:CreateTags workspaces:DescribeClientProperties kms:ListKeys kms:ListAliases kms:DescribeKey ds:DescribeTrusts ds:DescribeDirectories ec2:DescribeSubnets ec2:DescribeSecurityGroups |
| [Gerenciar usuários no WorkSpaces Personal](https://docs.aws.amazon.com/workspaces/latest/adminguide/manage-workspaces-users.html): para editar usuários e enviar e-mails de convite para usuários | workspaces:DirectoryAccessManagement workspaces:DescribeAccount workspaces:DescribeWorkspaceDirectories workspaces:DescribeWorkspaces workspaces:DescribeTags workspaces:DescribeWorkspaceBundles workspaces:DescribeWorkspacesConnectionStatus workspaces:DescribeWorkspaceAssociations workspaces:DescribeWorkspaceSnapshots workspaces:DescribeWorkspaceImages workspaces:DescribeConnectionAliases |
| [Atualizar a conta do AD Connector (AD Connector) para o WorkSpaces Personal](https://docs.aws.amazon.com/workspaces/latest/adminguide/connect-account.html) | workspaces:DirectoryAccessManagement ds:DescribeDirectories ds:UpdateDirectory ec2:DescribeSubnets ec2:DescribeSecurityGroups workspaces:DescribeAccount workspaces:DescribeWorkspaceDirectories workspaces:DescribeTags workspaces:DescribeClientProperties workspaces:DescribeConnectClientAddins |
| [Selecionar uma unidade organizacional para o WorkSpaces Personal](https://docs.aws.amazon.com/workspaces/latest/adminguide/select-ou.html) | workspaces:DirectoryAccessManagement ds:DescribeDirectories ec2:DescribeSubnets ec2:DescribeSecurityGroups workspaces:DescribeAccount workspaces:DescribeWorkspaceDirectories workspaces:DescribeTags workspaces:DescribeClientProperties workspaces:DescribeConnectClientAddins workspaces:ModifyWorkspaceCreationProperties |
| [Habilite sua conta para BYOL](https://docs.aws.amazon.com/workspaces/latest/adminguide/byol-windows-images.html): para confirmar a compreensão dos requisitos para usar o WorkSpaces BYOL | workspaces:DescribeConsent workspaces:UpdateConsent workspaces:DescribeAccount workspaces:ListAccountLinks workspaces:DescribeWorkspaceBundles workspaces:DescribeWorkspaceImages workspaces:DescribeWorkspaceDirectories |
# Validação de conformidade para o Amazon WorkSpaces
Auditores externos avaliam a segurança e a conformidade do Amazon WorkSpaces como parte de vários programas de conformidade da AWS. Isso inclui SOC, PCI, FedRAMP, HIPAA e outros.
Para obter uma lista de serviços da AWS no escopo de programas de conformidade específicos, consulte [Serviços da AWS no escopo por programa de conformidade](https://aws.amazon.com/compliance/services-in-scope/). Para obter informações gerais, consulte [Programas de conformidade da AWS](https://aws.amazon.com/compliance/programs/).
É possível baixar relatórios de auditoria de terceiros usando o AWS Artifact. Para obter mais informações, consulte [Baixar relatórios no AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
Para obter mais informações sobre o WorkSpaces e o FedRAMP, consulte [Configure a autorização do FedRAMP ou a conformidade com o SRG do DoD para pessoal WorkSpaces](fips-encryption.md).
Sua responsabilidade com relação à conformidade ao usar o WorkSpaces é determinada pela confidencialidade dos seus dados, pelos objetivos de conformidade da sua empresa e pelos regulamentos e leis aplicáveis. A AWS fornece os seguintes recursos para ajudar a manter a conformidade:
+ [Guias de início rápido de segurança e compatibilidade](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance): estes guias de implantação abordam as considerações de arquitetura e fornecem etapas para implantação de ambientes de linha de base focados em compatibilidade e segurança na AWS.
+ [Architecting for HIPAA Security and Compliance on Amazon Web Services](https://docs.aws.amazon.com/pdfs/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/architecting-hipaa-security-and-compliance-on-aws.pdf) (Arquitetura para segurança e conformidade com HIPAA na Amazon Web Services): esse whitepaper descreve como as empresas podem usar a AWS para criar aplicativos em conformidade com os padrões HIPAA.
+ [Recursos de conformidade da AWS](https://aws.amazon.com/compliance/resources/): essa coleção de manuais e guias pode ser aplicada a seu setor e local.
+ [Avaliar recursos com regras](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) no *AWS Config Guia do desenvolvedor*: AWS Config; avalia como suas configurações de recursos estão em conformidade com práticas internas, diretrizes do setor e regulamentos.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html): esse serviço da AWS fornece uma visão abrangente do estado da segurança na AWS que ajuda verificar a conformidade com os padrões e as práticas recomendadas de segurança do setor.
# Resiliência no Amazon WorkSpaces
A infraestrutura global da AWS é criada com base em regiões e zonas de disponibilidade da AWS. As regiões fornecem várias zonas de disponibilidade separadas e isoladas fisicamente, que são conectadas com baixa latência, alta throughput e redes altamente redundantes. Com as zonas de disponibilidade, é possível projetar e operar aplicações e bancos de dados que automaticamente executam o failover entre as zonas sem interrupção. As zonas de disponibilidade são altamente disponíveis, tolerantes a falhas e escaláveis que uma ou várias infraestruturas de data center tradicionais.
Para obter mais informações sobre regiões e zonas de disponibilidade da AWS, consulte [Infraestrutura global da AWS](https://aws.amazon.com/about-aws/global-infrastructure/).
O Amazon WorkSpaces também fornece redirecionamento entre regiões, um recurso que funciona com as políticas de roteamento por failover do Sistema de Nomes de Domínio (DNS) para redirecionar os usuários do WorkSpaces para WorkSpaces alternativos em outra região da AWS quando os WorkSpaces primários não estão disponíveis. Para obter mais informações, consulte [Redirecionamento entre regiões para o Personal WorkSpaces](cross-region-redirection.md).
# Segurança de infraestrutura na Amazon WorkSpaces
Como um serviço gerenciado, a Amazon WorkSpaces é protegida pela segurança de rede AWS global. Para obter informações sobre serviços AWS de segurança e como AWS proteger a infraestrutura, consulte [AWS Cloud Security](https://aws.amazon.com/security/). Para projetar seu AWS ambiente usando as melhores práticas de segurança de infraestrutura, consulte [Proteção](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) de infraestrutura no *Security Pillar AWS Well‐Architected* Framework.
Você usa chamadas de API AWS publicadas para acessar WorkSpaces pela rede. Os clientes devem oferecer compatibilidade com:
+ Transport Layer Security (TLS). Exigimos TLS 1.2 e recomendamos TLS 1.3.
+ Conjuntos de criptografia com perfect forward secrecy (PFS) como DHE (Ephemeral Diffie-Hellman) ou ECDHE (Ephemeral Elliptic Curve Diffie-Hellman). A maioria dos sistemas modernos, como Java 7 e versões posteriores, comporta esses modos.
**Topics**
+ [Isolamento de rede](network-isolation.md)
+ [Isolamento em hosts físicos](physical-isolation.md)
+ [Credential Guard /Segurança baseada em virtualização (VBS)](credential-guard-vbs.md)
+ [Autorização de usuários corporativos](authorization.md)
+ [Criação e streaming a partir de endpoints da VPC de interface](creating-streaming-vpc-endpoints.md)
+ [Faça solicitações de WorkSpaces API da Amazon por meio de um endpoint de interface VPC](interface-vpc-endpoint.md)
+ [Criar uma política de endpoint da VPC para o Amazon WorkSpaces](api-private-link-policy.md)
+ [Conectar uma rede privada a uma VPC](notebook-private-link-vpn.md)
# Isolamento de rede
Uma nuvem virtual privada (VPC) é uma rede virtual na área isolada logicamente na Nuvem AWS. Você pode implantar o WorkSpaces em uma sub-rede privada na VPC. Para obter mais informações, consulte [Configurar uma VPC para uso pessoal WorkSpaces](amazon-workspaces-vpc.md).
Para permitir o tráfego somente em intervalos de endereços específicos (por exemplo, da rede corporativa), atualize o grupo de segurança para a VPC ou use um [grupo de controle de acesso IP](amazon-workspaces-ip-access-control-groups.md).
Você pode restringir o acesso ao WorkSpace a dispositivos confiáveis com certificados válidos. Para obter mais informações, consulte [Restringir o acesso a WorkSpaces Personal para dispositivos confiáveis](trusted-devices.md).
# Isolamento em hosts físicos
WorkSpaces diferentes no mesmo host físico são isolados uns dos outros por meio do hipervisor. É como se estivessem em hosts físicos separados. Quando um WorkSpace é excluído, a memória alocada para ele será removida (definida como 0) pelo hipervisor antes de ser alocada para outro WorkSpace.
# Credential Guard /Segurança baseada em virtualização (VBS)
O Windows WorkSpaces pode utilizar o Credential Guard e a Virtualization-Based Security (VBS) para fornecer isolamento baseado em hardware e proteger as credenciais no sistema operacional. Você pode desativar o Credential Guard ou o VBS por meio das configurações da Política de Grupo.
**Importante**
Desativar o VBS reduz a postura de segurança do seu Windows. WorkSpace Desative o VBS somente se necessário para necessidades específicas de desempenho ou compatibilidade.
**Implicações de segurança da desativação do VBS**
+ **Proteção reduzida no nível do kernel —** O kernel do sistema operacional se torna mais vulnerável a códigos maliciosos.
+ **Maior risco de roubo de credenciais** — Os atacantes podem extrair mais facilmente as credenciais do processo lsass.exe.
+ **Verificações de integridade de código desativadas** — Hypervisor-Enforced Code Integrity (HVCI) não funcionará, permitindo que drivers não assinados sejam executados no modo kernel.
+ **Maior vulnerabilidade a explorações** — O sistema se torna mais suscetível a ataques que podem resultar no comprometimento total do sistema.
+ **Perda de recursos avançados de segurança — recursos** como o Windows Defender Credential Guard e o System Guard não podem funcionar conforme o esperado.
# Autorização de usuários corporativos
Com o WorkSpaces, os diretórios são gerenciados pelo Directory Service. É possível criar um diretório gerenciado autônomo para os usuários. Ou é possível integrar com seu ambiente do Active Directory existente para que os usuários possam usar suas credenciais atuais para obter acesso contínuo aos recursos corporativos. Para obter mais informações, consulte [Gerenciar diretórios para WorkSpaces Personal](manage-workspaces-directory.md).
Para controlar ainda mais o acesso aos WorkSpaces, use a autenticação multifator. Para obter mais informações, consulte [How to Enable Multi-Factor Authentication for AWS Services](https://aws.amazon.com/blogs/security/how-to-enable-multi-factor-authentication-for-amazon-workspaces-and-amazon-quicksight-by-using-microsoft-ad-and-on-premises-credentials/).
# Criação e streaming a partir de endpoints da VPC de interface
Uma Virtual Private Cloud (VPC) é uma rede virtual na área isolada logicamente na Nuvem Amazon Web Services. Se você usa a Amazon Virtual Private Cloud para hospedar seus AWS recursos, você pode estabelecer uma conexão privada entre sua VPC e. WorkSpaces Você pode usar essa conexão para permitir WorkSpaces a comunicação com seus recursos em sua VPC sem passar pela Internet pública.
Os endpoints de interface são alimentados por AWS PrivateLink uma tecnologia que permite manter o tráfego de streaming em uma VPC que você especifica usando endereços IP privados. Ao usar a VPC com um túnel AWS Direct Connect ou AWS Virtual Private Network, você pode manter o tráfego de streaming em sua rede.
Você pode usar um VPC endpoint em sua AWS conta para restringir todo o tráfego de streaming entre sua Amazon VPC e a rede. WorkSpaces AWS Depois de criar o endpoint, configure seu WorkSpaces diretório para usá-lo.
## Pré-requisitos e limitações
Antes de configurar os VPC endpoints para WorkSpaces, esteja ciente dos seguintes pré-requisitos e limitações.
+ Atualmente, o recurso suporta IPv4 nosso tipo de IP de registro IPv6 DNS. O tipo IP do registro DNS Dualstack não é compatível.
+ Você só pode configurar VPC endpoints que estejam no Conta da AWS mesmo diretório. Não Contas da AWS há suporte para endpoints VPC em outros, incluindo endpoints compartilhados. VPCs
+ Atualmente, o atributo oferece suporte apenas ao nome DNS privado para endpoints da VPC. O nome DNS privado de um endpoint da VPC não é possível resolver publicamente.
+ Atualmente, o recurso está disponível apenas para WorkSpaces uso pessoal. WorkSpaces Os pools não oferecem suporte a endpoints VPC para streaming.
+ O recurso de VPC endpoint está disponível exclusivamente para usar o WorkSpaces Amazon DCV. Quando você configura um endpoint da VPC para um diretório, os usuários não podem transmitir do Amazon DCV pela Internet. No entanto, você pode ativar o streaming da Internet para PCo IP WorkSpaces no mesmo diretório durante a configuração do VPC endpoint.
+ Para manter o tráfego de streaming em sua VPC, use um endpoint da VPC de streaming. Seus WorkSpaces clientes precisam de conectividade com a Internet para autenticação do usuário. Ative o acesso de saída na porta 443 (UDP e TCP) para tráfego de autenticação. Além disso, você deve adicionar os domínios e endereços IP necessários à sua lista de permissões com base no método de autenticação escolhido. Para obter uma lista completa de domínios para cada categoria, consulte [Domínios e endereços IP para adicionar à sua lista de permissões](https://docs.aws.amazon.com/workspaces/latest/adminguide/workspaces-port-requirements.html#whitelisted_ports).
+ CAPTCHA
+ Configurações de diretório
+ Endpoints de autenticação de cartão inteligente pré-sessão, se você estiver usando cartão inteligente
+ Páginas de login do usuário
+ WS Broker
+ WorkSpaces Endpoints para SAML Single Sign-On (SSO)
+ A rede à qual os dispositivos dos usuários estão conectados deve ser capaz de rotear o tráfego para o endpoint da VPC.
+ Você deve ter uma política de permissões do IAM para o usuário do IAM ou para o perfil do IAM em sua conta da AWS para executar a ação da API `ec2:DescribeVpcEndpoints`.
+ WorkSpaces Atualmente, os endpoints VPC de streaming não oferecem suporte à criptografia FIPS. Se você já habilitou a criptografia FIPS para um diretório, precisará desabilitar a criptografia FIPS antes de configurar um endpoint da VPC.
+ AWSA integração do Global Accelerator (AGA) não está disponível durante o streaming por meio de um VPC endpoint.
+ Quando um endpoint da VPC é configurado para um diretório, os grupos de controle de acesso IP especificados para o diretório não se aplicam mais.
## Configurando o VPC endpoint para streaming WorkSpaces
Para configurar um VPC endpoint para WorkSpaces streaming, conclua as seguintes etapas:
### Etapa 1: Criar o grupo de segurança
Nesta etapa, você cria um grupo de segurança que permite que WorkSpaces os clientes se comuniquem com o VPC endpoint que você criará.
1. No painel de navegação do EC2 console da Amazon, acesse **Rede e Segurança**, depois **Grupos de Segurança**.
1. Selecione **Criar grupo de segurança**.
1. Em **Detalhes básicos**, faça o seguinte:
+ Em **Nome do grupo de segurança**: insira um nome exclusivo que identifique o grupo de segurança.
+ Em **Descrição**: insira algum texto que descreva a finalidade do grupo de segurança.
+ Para **VPC**: escolha a VPC em que seu endpoint da VPC está.
1. Acesse **Regras de entrada** e selecione **Adicionar regra** para criar regras de entrada para tráfego TCP.
1. Insira o seguinte:
+ Em **Tipo**: escolha TCP personalizada.
+ Para **Intervalo de portas**: insira os seguintes números de porta: `443`, `4195`.
+ Em Tipo de origem: escolha Personalizado.
+ Para **Origem** — Insira o intervalo de IP CIDR privado ou outro grupo de segurança a IDs partir do qual seus usuários se conectam ao VPC endpoint. Certifique-se de permitir o tráfego de entrada de uma fonte IPv4 ou IPv6 endereço.
1. Repita as etapas 4 e 5 para cada intervalo CIDR ou grupo de segurança.
1. Vá para **Regras de entrada** e selecione **Adicionar regra** para criar regras de entrada para tráfego UDP.
1. Insira o seguinte:
+ Em **Tipo**: escolha **TCP personalizada**.
+ Em **Intervalo de portas**: insira os seguintes números de porta: 443, 4195.
+ Em **Tipo de origem**: escolha **Personalizado**.
+ Para **Fonte** — Insira o mesmo intervalo de CIDR IP privado ou grupo de segurança IDs inserido na Etapa 5. Certifique-se de permitir o tráfego de entrada de uma fonte IPv4 ou IPv6 endereço.
1. Repita as etapas 7 e 8 para cada intervalo CIDR ou grupo de segurança.
1. Selecione **Criar grupo de segurança**.
### Etapa 2: Criar o endpoint da VPC.
Na Amazon VPC, um endpoint de VPC permite que você conecte sua VPC a serviços compatíveis. AWS Neste exemplo, você configura a Amazon VPC para que seus WorkSpaces usuários possam transmitir a partir de. WorkSpaces
1. Abra o [console da Amazon VPC](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Endpoints**, **Criar endpoint** .
1. Selecione **Criar endpoint**.
1. Verifique o seguinte:
+ **Categoria de serviço**: verifique se **AWS Serviços da AWS** está selecionado.
+ **Nome do serviço** — Escolha **com.amazonaws. *Region*.highlander**.
+ **VPC**: escolha uma VPC na qual criar o endpoint de interface. Você pode escolher uma VPC diferente da VPC com WorkSpaces recursos, desde que a rede direcione o tráfego para o VPC endpoint.
+ **Habilitar nome DNS privado**: a caixa de seleção está marcada. Se os usuários usam um proxy de rede para acessar instâncias de streaming, desabilite qualquer armazenamento em cache de proxy no domínio e nomes DNS associados ao endpoint privado. O nome DNS do endpoint da VPC deve ser permitido por meio do proxy. Para uma resolução bem-sucedida de nomes DNS, é essencial usar os servidores DNS privados na VPC, pois os servidores DNS públicos não resolverão o nome DNS do endpoint da VPC.
+ **Tipo de IP do registro DNS** — Escolha IPv4 ou IPv6. O tipo IP do registro DNS Dualstack não é compatível no momento. Se você escolher o Dualstack, não poderá transmitir usando WorkSpaces o VPC endpoint.
+ **Sub-redes**: selecione as sub-redes (zonas de disponibilidade) para criar o endpoint da VPC. É recomendável que você selecione pelo menos duas sub-redes.
+ **Tipo de endereço IP** — escolha IPv6 ou pilha dupla IPv4, dependendo do suporte das sub-redes escolhidas.
+ **Painel Security groups**: selecione o grupo de segurança criado anteriormente.
1. (Opcional) No painel **Tags** é possível criar uma ou mais tags.
1. Selecione **Criar endpoint**.
Quando o endpoint estiver pronto para uso, o valor na coluna **Status** mudará para **Available** (Disponível).
### Etapa 3: configurar o WorkSpaces diretório para usar o VPC endpoint
Você precisa configurar o WorkSpaces diretório para usar o VPC endpoint que você criou para streaming.
1. Abra o [WorkSpaces console](https://console.aws.amazon.com/workspaces/v2/home) na mesma AWS região do VPC endpoint.
1. No painel **Navegação**, selecione **Diretórios**.
1. Selecione o diretório que deseja usar.
1. Vá para a seção **Endpoints da VPC**, em seguida **Editar**.
1. Na caixa de diálogo **Editar Endpoint da VPC**, em **Streaming Endpoint Endpoint de streaming)**, selecione o endpoint da VPC que você criou.
1. Opcionalmente, você pode ativar **Permitir que usuários com PCo IP WorkSpaces transmitam da Internet**.
**nota**
Quando ativado, seus usuários podem transmitir a partir do PCo IP WorkSpaces pela Internet pública. Caso contrário, o PCo IP WorkSpaces no diretório ficará inacessível, pois o PCo IP WorkSpaces não oferece suporte ao VPC endpoint para streaming.
1. Selecione **Salvar**.
O tráfego para novas sessões de streaming será roteado por meio desse endpoint. No entanto, o tráfego das sessões de streaming atuais continuará sendo roteado por meio do endpoint especificado anteriormente.
**nota**
Usuários com DCV WorkSpaces não podem transmitir usando a Internet pública quando um VPC endpoint é especificado.
# Faça solicitações de WorkSpaces API da Amazon por meio de um endpoint de interface VPC
Você pode se conectar diretamente aos endpoints de WorkSpaces API da Amazon por meio de um [endpoint de interface](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html) em sua nuvem privada virtual (VPC) em vez de se conectar pela Internet. Quando você usa um endpoint de interface VPC, a comunicação entre sua VPC e o endpoint de API da WorkSpaces Amazon é conduzida de forma completa e segura dentro da rede. AWS
**nota**
Esse recurso só pode ser usado para se conectar aos endpoints WorkSpaces da API. Para se conectar WorkSpaces usando os WorkSpaces clientes, é necessária conectividade com a Internet, conforme descrito em[Requisitos de endereço IP e porta para o WorkSpaces Personal](workspaces-port-requirements.md).
Os endpoints de WorkSpaces API da [Amazon oferecem suporte a endpoints de interface da Amazon Virtual Private Cloud](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Introduction.html) (Amazon VPC) que são alimentados por. [AWS PrivateLink](https://aws.amazon.com/privatelink/) Cada VPC endpoint é representado por uma ou mais interfaces de [rede (também conhecidas como interfaces](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) de rede elástica, ou ENIs) com endereços IP privados em suas sub-redes VPC.
O endpoint da interface VPC conecta sua VPC diretamente ao endpoint da WorkSpaces API da Amazon sem um gateway de internet, dispositivo NAT, conexão VPN ou conexão. Direct Connect As instâncias em sua VPC não precisam de endereços IP públicos para se comunicar com o endpoint de WorkSpaces API da Amazon.
Você pode criar um endpoint de interface para se conectar à Amazon WorkSpaces com os comandos Console de gerenciamento da AWS ou AWS Command Line Interface (AWS CLI). Para obter instruções, consulte [Criar um endpoint de interface](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html#create-interface-endpoint).
*Depois de criar um VPC endpoint*, você pode usar os seguintes exemplos de comandos de CLI que usam o `endpoint-url` parâmetro para especificar endpoints de interface para o endpoint de API da Amazon: WorkSpaces
```
aws workspaces copy-workspace-image --endpoint-url VPC_Endpoint_ID.workspaces.Region.vpce.amazonaws.com
aws workspaces delete-workspace-image --endpoint-url VPC_Endpoint_ID.api.workspaces.Region.vpce.amazonaws.com
aws workspaces describe-workspace-bundles --endpoint-url VPC_Endpoint_ID.workspaces.Region.vpce.amazonaws.com \
--endpoint-name Endpoint_Name \
--body "Endpoint_Body" \
--content-type "Content_Type" \
Output_File
```
Se você habilitar nomes de hosts DNS privados para seu VPC endpoint, não precisará especificar a URL do endpoint. O nome de host DNS WorkSpaces da API da Amazon que a CLI e o WorkSpaces Amazon SDK usam por padrão (https://api.workspaces). *Region*.amazonaws.com) resolve para seu VPC endpoint.
[O endpoint de WorkSpaces API da Amazon oferece suporte a endpoints de VPC em AWS todas as regiões em que a Amazon [VPC e a Amazon](https://docs.aws.amazon.com/general/latest/gr/rande.html#vpc_region) estão disponíveis. WorkSpaces](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services) A Amazon WorkSpaces oferece suporte para fazer chamadas para todo o [público APIs](https://docs.aws.amazon.com/workspaces/latest/api/welcome.html) dentro da sua VPC.
Para saber mais sobre isso AWS PrivateLink, consulte a [AWS PrivateLink documentação](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Introduction.html#what-is-privatelink). Para obter o preço dos VPC endpoints, consulte a [Definição de preço da VPC](https://aws.amazon.com/vpc/pricing/). Para saber mais sobre VPC e endpoints, consulte [Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html).
Para ver uma lista de endpoints de WorkSpaces API da Amazon por região, consulte [Endpoints de WorkSpaces API](workspaces-port-requirements.md#workspaces_api_endpoints).
# Criar uma política de endpoint da VPC para o Amazon WorkSpaces
É possível criar uma política de endpoints do Amazon VPC para o Amazon WorkSpaces a fim de especificar o seguinte:
+ A entidade principal que pode executar ações.
+ As ações que podem ser executadas.
+ Os recursos sobre os quais as ações podem ser realizadas.
Para obter mais informações, consulte [Controlar o acesso a serviços com endpoint da VPCs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) no *Manual do usuário da Amazon VPC*.
**nota**
As políticas de endpoint da VPC não são compatíveis com os endpoints do Amazon WorkSpaces do Padrão de Processamento de Informações Federal (FIPS).
O exemplo de política de endpoint da VPC a seguir especifica que todos os usuários com acesso ao endpoint de interface da VPC têm permissão para invocar o endpoint hospedado do Amazon WorkSpaces, denominado `ws-f9abcdefg`.
```
{
"Statement": [
{
"Action": "workspaces:*",
"Effect": "Allow",
"Resource": "arn:aws:workspaces:us-west-2:1234567891011:workspace/ws-f9abcdefg",
"Principal": "*"
}
]
}
```
Neste exemplo, as seguintes ações são negadas:
+ Invocar endpoints hospedados do Amazon WorkSpaces que não sejam `ws-f9abcdefg`.
+ Executar uma ação em qualquer recurso além da especificada (ID do WorkSpace: `ws-f9abcdefg`).
**nota**
Neste exemplo, os usuários ainda podem realizar outras ações da API do Amazon WorkSpaces de fora da VPC. Para restringir chamadas de API para esses de dentro da VPC, consulte [Gerenciamento de identidade e acesso para WorkSpaces](workspaces-access-control.md) para obter informações sobre como usar políticas baseadas em identidade para controlar o acesso a endpoints de API do Amazon WorkSpaces.
# Conectar uma rede privada a uma VPC
Para chamar a API do Amazon WorkSpaces por meio da VPC, é necessário se conectar de uma instância que esteja dentro da VPC ou conectar sua rede privada à sua VPC usando o AWS Virtual Private Network (Site-to-Site VPN) ou o Direct Connect. Para obter mais informações, consulte [Conexões VPN](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html) no *Guia do usuário do Amazon Virtual Private Cloud*. Para obter informações sobre a AWS Direct Connect, consulte [Criar uma conexão](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-connection.html) no *Manual do usuário da Direct Connect*.
# Gerenciamento de atualizações no WorkSpaces
Recomendamos corrigir, atualizar e proteger regularmente o sistema operacional e os aplicativos no WorkSpaces. Você pode configurar o WorkSpaces para ser atualizado pelo WorkSpaces durante uma janela de manutenção regular ou você mesmo pode atualizá-lo. Para obter mais informações, consulte [Manutenção no WorkSpaces Personal](workspace-maintenance.md).
Para aplicativos no WorkSpaces, você pode usar todos os serviços de atualização automática fornecidos ou seguir as recomendações para instalar atualizações fornecidas pelo provedor do aplicativo.