As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Gerenciamento de identidade e acesso para WorkSpaces
Por padrão, os usuários do IAM não têm permissões para WorkSpaces recursos e operações. Para permitir que os usuários do IAM gerenciem WorkSpaces recursos, você deve criar uma política do IAM que conceda permissões explicitamente e anexar a política aos usuários ou grupos do IAM que exigem essas permissões.
**nota**
A Amazon WorkSpaces não oferece suporte ao provisionamento de credenciais do IAM em um WorkSpace (como com um perfil de instância).
Para conceder acesso, adicione as permissões aos seus usuários, grupos ou perfis:
+ Usuários e grupos em Centro de Identidade do AWS IAM:
Crie um conjunto de permissões. Siga as instruções em [Criação de um conjunto de permissões](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.
+ Usuários gerenciados no IAM com provedor de identidades:
Crie um perfil para a federação de identidades. Siga as instruções em [Criando um perfil para um provedor de identidades de terceiros (federação)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) no *Guia do Usuário do IAM*.
+ Usuários do IAM:
+ Crie um perfil que seu usuário possa assumir. Siga as instruções em [Criação de um perfil para um usuário do IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) no *Guia do usuário do IAM*.
+ (Não recomendado) Vincule uma política diretamente a um usuário ou adicione um usuário a um grupo de usuários. Siga as instruções em [Adição de permissões a um usuário (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) no *Guia do usuário do IAM*.
A seguir estão os recursos adicionais para o IAM:
+ Para obter mais informações gerais sobre as políticas do IAM, consulte [Permissões e políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) no *Guia do usuário do IAM*.
+ Para obter mais informações sobre o IAM, consulte [Identity and Access Management (IAM)](https://aws.amazon.com/iam) e o [https://docs.aws.amazon.com/IAM/latest/UserGuide/](https://docs.aws.amazon.com/IAM/latest/UserGuide/).
+ Para obter mais informações sobre recursos, ações e chaves de contexto de condição WorkSpaces específicos para uso nas políticas de permissão do IAM, consulte [Ações, recursos e chaves de condição para a Amazon WorkSpaces](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonworkspaces.html) no *Guia do usuário do IAM*.
+ Para obter uma ferramenta que ajuda a criar políticas do IAM, consulte o [AWS Policy Generator](https://aws.amazon.com/blogs/aws/aws-policy-generator/). Também é possível usar o [simulador de políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UsingPolicySimulatorGuide/) para testar se uma política permitiria ou negaria uma solicitação específica à AWS.
**Topics**
+ [Exemplo de política](#workspaces-example-iam-policies)
+ [Especificar WorkSpaces recursos em uma política do IAM](#wsp_iam_resource)
+ [Crie os espaços de trabalho\$1 Role DefaultRole](#create-default-role)
+ [Crie a função AmazonWorkSpaces PCAAccess de serviço](#create-pca-access-role)
+ [AWS políticas gerenciadas para WorkSpaces](managed-policies.md)
+ [Acesso WorkSpaces e scripts em instâncias de streaming](using-iam-roles-to-grant-permissions-to-applications-scripts-streaming-instances.md)
+ [Referência de permissões de operações do Amazon WorkSpaces Console](wsp-console-permissions-ref.md)
## Exemplo de política
Os exemplos a seguir mostram declarações de política que você pode usar para controlar as permissões que os usuários do IAM têm na Amazon WorkSpaces.
### Exemplo 1: Conceder acesso para realizar tarefas WorkSpaces pessoais e de grupos
A declaração de política a seguir concede permissão ao usuário do IAM para realizar tarefas WorkSpaces pessoais e de grupos.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:*",
"workspaces:*",
"application-autoscaling:DeleteScalingPolicy",
"application-autoscaling:DeleteScheduledAction",
"application-autoscaling:DeregisterScalableTarget",
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"application-autoscaling:PutScalingPolicy",
"application-autoscaling:PutScheduledAction",
"application-autoscaling:RegisterScalableTarget",
"cloudwatch:DeleteAlarms",
"cloudwatch:DescribeAlarms",
"cloudwatch:PutMetricAlarm",
"ec2:AssociateRouteTable",
"ec2:AttachInternetGateway",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateInternetGateway",
"ec2:CreateNetworkInterface",
"ec2:CreateRoute",
"ec2:CreateRouteTable",
"ec2:CreateSecurityGroup",
"ec2:CreateSubnet",
"ec2:CreateTags",
"ec2:CreateVpc",
"ec2:DeleteNetworkInterface",
"ec2:DeleteSecurityGroup",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeInternetGateways",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"iam:AttachRolePolicy",
"iam:CreatePolicy",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:PutRolePolicy",
"kms:ListAliases",
"kms:ListKeys",
"secretsmanager:ListSecrets",
"tag:GetResources",
"sso-directory:SearchUsers",
"sso:CreateApplication",
"sso:DeleteApplication",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:GetApplicationGrant",
"sso:ListInstances",
"sso:PutApplicationAssignmentConfiguration",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "workspaces.amazonaws.com"
}
}
}
]
}
```
------
### Exemplo 2: Conceder acesso para realizar tarefas WorkSpaces pessoais
A declaração de política a seguir concede permissão ao usuário do IAM para realizar todas as tarefas WorkSpaces pessoais.
Embora a Amazon ofereça suporte WorkSpaces total aos `Resource` elementos `Action` e ao usar a API e as ferramentas de linha de comando, para usar a Amazon a WorkSpaces partir do Console de gerenciamento da AWS, um usuário do IAM deve ter permissões para as seguintes ações e recursos:
+ Ações: `"ds:*"`
+ Recursos: `"Resource": "*"`
O exemplo de política a seguir mostra como permitir que um usuário do IAM use a Amazon a WorkSpaces partir do Console de gerenciamento da AWS.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"workspaces:*",
"ds:*",
"iam:GetRole",
"iam:CreateRole",
"iam:PutRolePolicy",
"iam:CreatePolicy",
"iam:AttachRolePolicy",
"iam:ListRoles",
"kms:ListAliases",
"kms:ListKeys",
"ec2:CreateVpc",
"ec2:CreateSubnet",
"ec2:CreateNetworkInterface",
"ec2:CreateInternetGateway",
"ec2:CreateRouteTable",
"ec2:CreateRoute",
"ec2:CreateTags",
"ec2:CreateSecurityGroup",
"ec2:DescribeInternetGateways",
"ec2:DescribeSecurityGroups",
"ec2:DescribeRouteTables",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeAvailabilityZones",
"ec2:AttachInternetGateway",
"ec2:AssociateRouteTable",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:DeleteSecurityGroup",
"ec2:DeleteNetworkInterface",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"secretsmanager:ListSecrets",
"sso-directory:SearchUsers",
"sso:CreateApplication",
"sso:DeleteApplication",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:GetApplicationGrant",
"sso:ListInstances",
"sso:PutApplicationAssignmentConfiguration",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "workspaces.amazonaws.com"
}
}
}
]
}
```
------
### Exemplo 3: Conceder acesso para realizar tarefas de WorkSpaces pools
A declaração de política a seguir concede a um usuário do IAM permissão para realizar todas as tarefas do WorkSpaces Pools.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"workspaces:*",
"application-autoscaling:DeleteScalingPolicy",
"application-autoscaling:DeleteScheduledAction",
"application-autoscaling:DeregisterScalableTarget",
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"application-autoscaling:PutScalingPolicy",
"application-autoscaling:PutScheduledAction",
"application-autoscaling:RegisterScalableTarget",
"cloudwatch:DeleteAlarms",
"cloudwatch:DescribeAlarms",
"cloudwatch:PutMetricAlarm",
"ec2:CreateSecurityGroup",
"ec2:CreateTags",
"ec2:DescribeInternetGateways",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"iam:AttachRolePolicy",
"iam:CreatePolicy",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:PutRolePolicy",
"secretsmanager:ListSecrets",
"tag:GetResources"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "workspaces.amazonaws.com"
}
}
},
{
"Action": "iam:CreateServiceLinkedRole",
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/aws-service-role/workspaces.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_WorkSpacesPool",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "workspaces.application-autoscaling.amazonaws.com"
}
}
}
]
}
```
------
### Exemplo 4: Executar todas as WorkSpaces tarefas para BYOL WorkSpaces
A declaração de política a seguir concede a um usuário do IAM permissão para realizar todas as WorkSpaces tarefas, incluindo as tarefas do Amazon EC2 necessárias para criar Bring Your Own License (BYOL). WorkSpaces
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:*",
"workspaces:*",
"ec2:AssociateRouteTable",
"ec2:AttachInternetGateway",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateInternetGateway",
"ec2:CreateNetworkInterface",
"ec2:CreateRoute",
"ec2:CreateRouteTable",
"ec2:CreateSecurityGroup",
"ec2:CreateSubnet",
"ec2:CreateTags",
"ec2:CreateVpc",
"ec2:DeleteNetworkInterface",
"ec2:DeleteSecurityGroup",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeImages",
"ec2:DescribeInternetGateways",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:ModifyImageAttribute",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"iam:CreateRole",
"iam:GetRole",
"iam:PutRolePolicy",
"kms:ListAliases",
"kms:ListKeys"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "workspaces.amazonaws.com"
}
}
}
]
}
```
------
## Especificar WorkSpaces recursos em uma política do IAM
Para especificar um WorkSpaces recurso no `Resource` elemento da declaração de política, use o Amazon Resource Name (ARN) do recurso. Você controla o acesso aos seus WorkSpaces recursos ao permitir ou negar permissões para usar as ações de API especificadas no `Action` elemento da sua declaração de política do IAM. WorkSpaces define ARNs para WorkSpaces, pacotes, grupos IP e diretórios.
### WorkSpace ARN
Um WorkSpace ARN tem a sintaxe mostrada no exemplo a seguir.
```
arn:aws:workspaces:region:account_id:workspace/workspace_identifier
```
*region*
A região em que o WorkSpace está (por exemplo,`us-east-1`).
*account\$1id*
O ID da AWS conta, sem hífens (por exemplo,`123456789012`).
*workspace\$1identifier*
O ID do WorkSpace (por exemplo,`ws-a1bcd2efg`).
A seguir está o formato do `Resource` elemento de uma declaração de política que identifica um elemento específico WorkSpace.
```
"Resource": "arn:aws:workspaces:region:account_id:workspace/workspace_identifier"
```
Você pode usar o `*` curinga para especificar tudo o WorkSpaces que pertence a uma conta específica em uma região específica.
### WorkSpace ARN da piscina
Um ARN de WorkSpace pool tem a sintaxe mostrada no exemplo a seguir.
```
arn:aws:workspaces:region:account_id:workspacespool/workspacespool_identifier
```
*region*
A região em que o WorkSpace está (por exemplo,`us-east-1`).
*account\$1id*
O ID da AWS conta, sem hífens (por exemplo,`123456789012`).
*espaço de trabalho\$1pool\$1identifier*
O ID do WorkSpace pool (por exemplo,`ws-a1bcd2efg`).
A seguir está o formato do `Resource` elemento de uma declaração de política que identifica um elemento específico WorkSpace.
```
"Resource": "arn:aws:workspaces:region:account_id:workspacespool/workspacespool_identifier"
```
Você pode usar o `*` curinga para especificar tudo o WorkSpaces que pertence a uma conta específica em uma região específica.
### ARN de certificado.
Um ARN de WorkSpace certificado tem a sintaxe mostrada no exemplo a seguir.
```
arn:aws:workspaces:region:account_id:workspacecertificate/workspacecertificateidentifier
```
*region*
A região em que o WorkSpace está (por exemplo,`us-east-1`).
*account\$1id*
O ID da AWS conta, sem hífens (por exemplo,`123456789012`).
*workspacecertificate\$1identifier*
O ID do WorkSpace certificado (por exemplo,`ws-a1bcd2efg`).
A seguir está o formato do `Resource` elemento de uma declaração de política que identifica um WorkSpace certificado específico.
```
"Resource": "arn:aws:workspaces:region:account_id:workspacecertificate/workspacecertificate_identifier"
```
Você pode usar o `*` curinga para especificar tudo o WorkSpaces que pertence a uma conta específica em uma região específica.
### ARN de imagem
Um ARN de WorkSpace imagem tem a sintaxe mostrada no exemplo a seguir.
```
arn:aws:workspaces:region:account_id:workspaceimage/image_identifier
```
*region*
A região em que a WorkSpace imagem está (por exemplo,`us-east-1`).
*account\$1id*
O ID da AWS conta, sem hífens (por exemplo,`123456789012`).
*bundle\$1identifier*
O ID da WorkSpace imagem (por exemplo,`wsi-a1bcd2efg`).
Veja a seguir o formato do elemento `Resource` de uma declaração de política que identifica uma imagem específica.
```
"Resource": "arn:aws:workspaces:region:account_id:workspaceimage/image_identifier"
```
É possível usar o caractere curinga `*` para especificar todas as imagens que pertencem a uma conta específica em determinada região.
### ARN de pacote
Um ARN de pacote tem a sintaxe mostrada no exemplo a seguir.
```
arn:aws:workspaces:region:account_id:workspacebundle/bundle_identifier
```
*region*
A região em que o WorkSpace está (por exemplo,`us-east-1`).
*account\$1id*
O ID da AWS conta, sem hífens (por exemplo,`123456789012`).
*bundle\$1identifier*
O ID do WorkSpace pacote (por exemplo,`wsb-a1bcd2efg`).
Veja a seguir o formato do elemento `Resource` de uma declaração de política que identifica um pacote específico.
```
"Resource": "arn:aws:workspaces:region:account_id:workspacebundle/bundle_identifier"
```
É possível usar o caractere curinga `*` para especificar todos os pacotes que pertencem a uma conta específica em determinada região.
### ARN do grupo de IP
Um ARN de grupo IP tem a sintaxe mostrada no exemplo a seguir.
```
arn:aws:workspaces:region:account_id:workspaceipgroup/ipgroup_identifier
```
*region*
A região em que o WorkSpace está (por exemplo,`us-east-1`).
*account\$1id*
O ID da AWS conta, sem hífens (por exemplo,`123456789012`).
*ipgroup\$1identifier*
O ID do grupo de IP (por exemplo, `wsipg-a1bcd2efg`).
Veja a seguir o formato do elemento `Resource` de uma declaração de política que identifica um grupo de IP específico.
```
"Resource": "arn:aws:workspaces:region:account_id:workspaceipgroup/ipgroup_identifier"
```
É possível usar o caractere curinga `*` para especificar todos os grupos de IP que pertencem a uma conta específica determinada região.
### ARN do diretório
Um ARN de diretório tem a sintaxe mostrada no exemplo a seguir.
```
arn:aws:workspaces:region:account_id:directory/directory_identifier
```
*region*
A região em que o WorkSpace está (por exemplo,`us-east-1`).
*account\$1id*
O ID da AWS conta, sem hífens (por exemplo,`123456789012`).
*directory\$1identifier*
O ID do diretório (por exemplo, `d-12345a67b8`).
Veja a seguir o formato do elemento `Resource` de uma declaração de política que identifica um diretório específico.
```
"Resource": "arn:aws:workspaces:region:account_id:directory/directory_identifier"
```
É possível usar o caractere curinga `*` para especificar todos os diretórios que pertencem a uma conta específica em determinada região.
### ARN de alias de conexão
Um ARN de alias de conexão tem a sintaxe mostrada no exemplo a seguir.
```
arn:aws:workspaces:region:account_id:connectionalias/connectionalias_identifier
```
*region*
A região em que o alias da conexão está (por exemplo, `us-east-1`).
*account\$1id*
O ID da AWS conta, sem hífens (por exemplo,`123456789012`).
*connectionalias\$1identifier*
O ID do alias de conexão (por exemplo, `wsca-12345a67b8`).
Veja a seguir o formato do elemento `Resource` de uma declaração de política que identifica um alias de conexão específico.
```
"Resource": "arn:aws:workspaces:region:account_id:connectionalias/connectionalias_identifier"
```
É possível usar o caractere curinga `*` para especificar todos os alias de conexão que pertencem a uma conta específica em determinada região.
### Ações da API sem suporte de permissões no nível de recurso
Você não pode especificar um ARN de recurso com as seguintes ações de API:
+ `AssociateIpGroups`
+ `CreateIpGroup`
+ `CreateTags`
+ `DeleteTags`
+ `DeleteWorkspaceImage`
+ `DescribeAccount`
+ `DescribeAccountModifications`
+ `DescribeIpGroups`
+ `DescribeTags`
+ `DescribeWorkspaceDirectories`
+ `DescribeWorkspaceImages`
+ `DescribeWorkspaces`
+ `DescribeWorkspacesConnectionStatus`
+ `DisassociateIpGroups`
+ `ImportWorkspaceImage`
+ `ListAvailableManagementCidrRanges`
+ `ModifyAccount`
Para ações de API que não oferecem suporte a permissões no nível de recurso, é necessário especificar a instrução de recurso mostrada no exemplo a seguir.
```
"Resource": "*"
```
### Ações de API que não oferecem suporte a restrições no nível de conta em recursos compartilhados
Para as seguintes ações da API, você não pode especificar um ID de conta no ARN do recurso quando o recurso não é de propriedade da conta:
+ `AssociateConnectionAlias`
+ `CopyWorkspaceImage`
+ `DisassociateConnectionAlias`
Para essas ações da API, você pode especificar um ID de conta no ARN do recurso somente quando essa conta é a proprietária dos recursos a serem usados. Quando a conta não é a proprietária dos recursos, você deve especificar `*` para o ID da conta, conforme mostrado no exemplo a seguir.
```
"arn:aws:workspaces:region:*:resource_type/resource_identifier"
```
## Crie os espaços de trabalho\$1 Role DefaultRole
Antes de registrar um diretório usando a API, você deve verificar se existe um perfil chamado `workspaces_DefaultRole`. Essa função é criada pela Configuração rápida ou se você iniciar uma WorkSpace usando a Console de gerenciamento da AWS, e concede à Amazon WorkSpaces permissão para acessar AWS recursos específicos em seu nome. Se esse perfil não existir, você poderá criá-lo usando o procedimento a seguir.
**Para criar a função workspaces\$1 DefaultRole**
1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação à esquerda, escolha **Roles (Funções)**.
1. Selecione **Criar perfil**.
1. Em **Selecionar tipo de entidade confiável**, selecione **Outra conta da AWS **.
1. Em **ID da conta**, insira seu ID de conta sem hífens ou espaços.
1. Em **Opções**, não especifique a autenticação multifator (MFA).
1. Escolha **Próximo: Permissões**.
1. Na página **Anexar políticas de permissões**, selecione as políticas AWS gerenciadas **AmazonWorkSpacesServiceAccess**AmazonWorkSpacesSelfServiceAccess****, **AmazonWorkSpacesPoolServiceAccess**e. Para obter mais informações sobre políticas gerenciadas, consulte [AWS políticas gerenciadas para WorkSpaces](managed-policies.md).
1. Em **Definir limite de permissões**, recomendamos que você não use um limite de permissões devido ao potencial para conflitos com as políticas anexadas à esse perfil. Tais conflitos podem bloquear determinadas permissões necessárias para a função.
1. Escolha **Próximo: tags**.
1. Na página **Adicionar tags (opcional)**, adicione tags se necessário.
1. Selecione **Próximo: revisar**.
1. Na página **Revisar**, em **Nome da função**, insira **workspaces\$1DefaultRole**.
1. (Opcional ) Em **Descrição da função**, insira uma descrição.
1. Selecione **Criar função**.
1. Na página **Resumo** da DefaultRole função workspaces\$1, escolha a guia Relações de **confiança**.
1. Na guia **Relações de confiança**, escolha **Editar relação de confiança**.
1. Na página **Editar relação de confiança**, substitua a declaração de política existente pela declaração a seguir.
```
{
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "workspaces.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
1. Selecione **Atualizar política de confiança**.
## Crie a função AmazonWorkSpaces PCAAccess de serviço
Antes que os usuários possam fazer login usando a autenticação baseada em certificado, você deve verificar se existe um perfil chamado `AmazonWorkSpacesPCAAccess`. Essa função é criada quando você habilita a autenticação baseada em certificado em um diretório usando o. Ela Console de gerenciamento da AWS concede à Amazon WorkSpaces permissão para acessar CA Privada da AWS recursos em seu nome. Se esse perfil não existir porque você não está usando o console para gerenciar a autenticação baseada em certificado, você poderá criá-lo usando o procedimento a seguir.
**Para criar a função AmazonWorkSpaces PCAAccess de serviço usando o AWS CLI**
1. Crie um arquivo JSON denominado `AmazonWorkSpacesPCAAccess.json` com o texto a seguir.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "prod.euc.ecm.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Ajuste o `AmazonWorkSpacesPCAAccess.json` caminho conforme necessário e execute os AWS CLI comandos a seguir para criar a função de serviço e anexar a política [AmazonWorkspacesPCAAccess](managed-policies.md#workspaces-pca-access)gerenciada.
```
aws iam create-role --path /service-role/ --role-name AmazonWorkSpacesPCAAccess --assume-role-policy-document file://AmazonWorkSpacesPCAAccess.json
```
```
aws iam attach-role-policy —role-name AmazonWorkSpacesPCAAccess —policy-arn arn:aws:iam::aws:policy/AmazonWorkspacesPCAAccess
```
# AWS políticas gerenciadas para WorkSpaces
O uso de políticas AWS gerenciadas facilita a adição de permissões a usuários, grupos e funções do que a criação de políticas por conta própria. É necessário tempo e experiência para criar [políticas gerenciadas pelo cliente do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) que fornecem à sua equipe apenas as permissões de que precisam. Use políticas AWS gerenciadas para começar rapidamente. Essas políticas abrangem casos de uso comuns e estão disponíveis em sua AWS conta. Para obter mais informações sobre políticas AWS gerenciadas, consulte [políticas AWS gerenciadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.
AWS os serviços mantêm e atualizam as políticas AWS gerenciadas. Você não pode alterar as permissões nas políticas AWS gerenciadas. Ocasionalmente, os serviços podem adicionar permissões adicionais a uma política AWS gerenciada para oferecer suporte a novos recursos. Esse tipo de atualização afeta todas as identidades (usuários, grupos e funções) em que a política está anexada. É mais provável que os serviços atualizem uma política AWS gerenciada quando um novo recurso é lançado ou quando novas operações são disponibilizadas. Os serviços não removem as permissões de uma política AWS gerenciada, portanto, as atualizações de políticas não violarão suas permissões existentes.
Além disso, AWS oferece suporte a políticas gerenciadas para funções de trabalho que abrangem vários serviços. Por exemplo, a política `ReadOnlyAccess` AWS gerenciada fornece acesso somente de leitura a todos os AWS serviços e recursos. Quando um serviço inicia um novo atributo, a AWS adiciona permissões somente leitura para novas operações e atributos. Para obter uma lista e descrições das políticas de perfis de trabalho, consulte [Políticas gerenciadas pela AWS para perfis de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) no *Guia do usuário do IAM*.
## AWS política gerenciada: AmazonWorkSpacesAdmin
**nota**
As permissões listadas são somente para o SDK e não funcionarão no console. O console exige permissões adicionais listadas na [referência de permissões de operações WorkSpaces do Amazon Console](wsp-console-permissions-ref.md).
Essa política fornece acesso às ações WorkSpaces administrativas da Amazon. Ela fornece as seguintes permissões:
+ `workspaces`- Permite o acesso para realizar ações administrativas em recursos WorkSpaces pessoais e de WorkSpaces grupos.
+ `kms`: permite o acesso para listar e descrever chaves do KMS, bem como listar aliases.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonWorkSpacesAdmin",
"Effect": "Allow",
"Action": [
"kms:DescribeKey",
"kms:ListAliases",
"kms:ListKeys",
"workspaces:CreateTags",
"workspaces:CreateWorkspaceImage",
"workspaces:CreateWorkspaces",
"workspaces:CreateWorkspacesPool",
"workspaces:CreateStandbyWorkspaces",
"workspaces:DeleteTags",
"workspaces:DeregisterWorkspaceDirectory",
"workspaces:DescribeTags",
"workspaces:DescribeWorkspaceBundles",
"workspaces:DescribeWorkspaceDirectories",
"workspaces:DescribeWorkspaces",
"workspaces:DescribeWorkspacesPools",
"workspaces:DescribeWorkspacesPoolSessions",
"workspaces:DescribeWorkspacesConnectionStatus",
"workspaces:ModifyCertificateBasedAuthProperties",
"workspaces:ModifySamlProperties",
"workspaces:ModifyStreamingProperties",
"workspaces:ModifyWorkspaceCreationProperties",
"workspaces:ModifyWorkspaceProperties",
"workspaces:RebootWorkspaces",
"workspaces:RebuildWorkspaces",
"workspaces:RegisterWorkspaceDirectory",
"workspaces:RestoreWorkspace",
"workspaces:StartWorkspaces",
"workspaces:StartWorkspacesPool",
"workspaces:StopWorkspaces",
"workspaces:StopWorkspacesPool",
"workspaces:TerminateWorkspaces",
"workspaces:TerminateWorkspacesPool",
"workspaces:TerminateWorkspacesPoolSession",
"workspaces:UpdateWorkspacesPool"
],
"Resource": "*"
}
]
}
```
------
## AWS política gerenciada: AmazonWorkspaces PCAAccess
Essa política gerenciada fornece acesso aos AWS recursos da Autoridade de Certificação Privada (CA Privada) do Certificate Manager em sua AWS conta para autenticação baseada em certificado. Ela está incluída na AmazonWorkSpaces PCAAccess função e fornece as seguintes permissões:
+ `acm-pca`- Permite acesso à CA AWS privada para gerenciar a autenticação baseada em certificados.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"acm-pca:IssueCertificate",
"acm-pca:GetCertificate",
"acm-pca:DescribeCertificateAuthority"
],
"Resource": "arn:*:acm-pca:*:*:*",
"Condition": {
"StringLike": {
"aws:ResourceTag/euc-private-ca": "*"
}
}
}
]
}
```
------
## AWS política gerenciada: AmazonWorkSpacesSelfServiceAccess
Essa política fornece acesso ao WorkSpaces serviço da Amazon para realizar ações de WorkSpaces autoatendimento iniciadas por um usuário. Ela está incluída no perfil `workspaces_DefaultRole` e fornece as seguintes permissões:
+ `workspaces`- Permite o acesso aos recursos de WorkSpaces gerenciamento de autoatendimento para os usuários.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"workspaces:RebootWorkspaces",
"workspaces:RebuildWorkspaces",
"workspaces:ModifyWorkspaceProperties"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## AWS política gerenciada: AmazonWorkSpacesServiceAccess
Esta política fornece acesso à conta do cliente ao WorkSpaces serviço da Amazon para o lançamento de um WorkSpace. Ela está incluída no perfil `workspaces_DefaultRole` e fornece as seguintes permissões:
+ `ec2`- Permite o acesso para gerenciar recursos do Amazon EC2 associados a um WorkSpace, como interfaces de rede.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface",
"ec2:DescribeNetworkInterfaces"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## AWS política gerenciada: AmazonWorkSpacesPoolServiceAccess
Essa política é usada no workspaces\$1DefaultRole, WorkSpaces usado para acessar os recursos necessários na AWS conta do cliente do Pools. WorkSpaces Para obter mais informações, consulte [Crie os espaços de trabalho\$1 Role DefaultRole](workspaces-access-control.md#create-default-role). Ela fornece as seguintes permissões:
+ `ec2`- Permite o acesso para gerenciar recursos do Amazon EC2 associados a um WorkSpaces pool, como sub-redes VPCs, zonas de disponibilidade, grupos de segurança e tabelas de rotas.
+ `s3`: permite o acesso para realizar ações nos buckets do Amazon S3 necessários para logs, configurações de aplicativos e o atributo da pasta inicial.
------
#### [ Commercial Regiões da AWS ]
A seguinte política JSON se aplica ao comercial Regiões da AWS.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ProvisioningWorkSpacesPoolPermissions",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSecurityGroups",
"ec2:DescribeRouteTables",
"s3:ListAllMyBuckets"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "WorkSpacesPoolS3Permissions",
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:ListBucket",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetObjectVersion",
"s3:DeleteObjectVersion",
"s3:GetBucketPolicy",
"s3:PutBucketPolicy",
"s3:PutEncryptionConfiguration"
],
"Resource": [
"arn:aws:s3:::wspool-logs-*",
"arn:aws:s3:::wspool-app-settings-*",
"arn:aws:s3:::wspool-home-folder-*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
------
#### [ AWS GovCloud (US) Regions ]
A seguinte política JSON se aplica a AWS GovCloud (US) Regions comerciais.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ProvisioningWorkSpacesPoolPermissions",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSecurityGroups",
"ec2:DescribeRouteTables",
"s3:ListAllMyBuckets"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "WorkSpacesPoolS3Permissions",
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:ListBucket",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetObjectVersion",
"s3:DeleteObjectVersion",
"s3:GetBucketPolicy",
"s3:PutBucketPolicy",
"s3:PutEncryptionConfiguration"
],
"Resource": [
"arn:aws-us-gov:s3:::wspool-logs-*",
"arn:aws-us-gov:s3:::wspool-app-settings-*",
"arn:aws-us-gov:s3:::wspool-home-folder-*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
------
## WorkSpaces atualizações nas políticas AWS gerenciadas
Veja detalhes sobre as atualizações das políticas AWS gerenciadas WorkSpaces desde que esse serviço começou a rastrear essas alterações.
| Alteração | Descrição | Data |
| --- | --- | --- |
| [AWS política gerenciada: AmazonWorkSpacesPoolServiceAccess](#workspaces-pools-service-access): nova política adicionada | WorkSpaces adicionou uma nova política gerenciada para conceder permissão para visualizar o Amazon EC2 VPCs e recursos relacionados e para visualizar e gerenciar buckets do Amazon S3 para pools. WorkSpaces | 24 de junho de 2024 |
| [AWS política gerenciada: AmazonWorkSpacesAdmin](#workspaces-admin): Atualizar política | WorkSpaces adicionou várias ações para WorkSpaces Pools à política WorkSpacesAdmin gerenciada da Amazon, concedendo aos administradores acesso para gerenciar WorkSpace os recursos do Pool. | 24 de junho de 2024 |
| [AWS política gerenciada: AmazonWorkSpacesAdmin](#workspaces-admin): Atualizar política | WorkSpaces adicionou a workspaces:RestoreWorkspace ação à política WorkSpacesAdmin gerenciada da Amazon, concedendo aos administradores acesso para restaurar. WorkSpaces | 25 de junho de 2023 |
| [AWS política gerenciada: AmazonWorkspaces PCAAccess](#workspaces-pca-access): nova política adicionada | WorkSpaces adicionou uma nova política gerenciada para conceder acm-pca permissão para gerenciar a CA AWS privada para gerenciar a autenticação baseada em certificados. | 18 de novembro de 2022 |
| WorkSpaces começou a rastrear as alterações | WorkSpaces começou a rastrear as mudanças em suas políticas WorkSpaces gerenciadas. | 1.º de março de 2021 |
# Acesso WorkSpaces e scripts em instâncias de streaming
Aplicativos e scripts executados em instâncias WorkSpaces de streaming devem incluir AWS credenciais em suas solicitações de AWS API. Você pode criar um perfil do IAM para gerenciar essas credenciais. Uma função do IAM especifica um conjunto de permissões que você pode usar para acessar AWS recursos. No entanto, essa função não está associada exclusivamente a uma pessoa. Em vez disso, ela pode ser assumida por qualquer pessoa que precise dela.
Você pode aplicar uma função do IAM a uma instância WorkSpaces de streaming. Quando a instância de streaming alterna para (assume) a função, a função fornece credenciais de segurança temporárias. Seu aplicativo ou scripts usam essas credenciais para realizar ações de API e tarefas de gerenciamento na instância de streaming. WorkSpaces gerencia a troca temporária de credenciais para você.
**Topics**
+ [Melhores práticas para usar funções do IAM com instâncias WorkSpaces de streaming](#best-practices-for-using-iam-role-with-streaming-instances)
+ [Configurando uma função do IAM existente para usar com instâncias WorkSpaces de streaming](#configuring-existing-iam-role-to-use-with-streaming-instances)
+ [Como criar uma função do IAM para usar com instâncias WorkSpaces de streaming](#how-to-create-iam-role-to-use-with-streaming-instances)
+ [Como usar a função do IAM com instâncias WorkSpaces de streaming](#how-to-use-iam-role-with-streaming-instances)
## Melhores práticas para usar funções do IAM com instâncias WorkSpaces de streaming
Ao usar funções do IAM com instâncias de WorkSpaces streaming, recomendamos que você siga estas práticas:
+ Limite as permissões que você concede às ações e recursos AWS da API.
Siga os princípios de menor privilégio ao criar e anexar políticas do IAM às funções do IAM associadas às instâncias WorkSpaces de streaming. Ao usar um aplicativo ou script que exija acesso às ações ou recursos da AWS API, determine as ações e os recursos específicos necessários. Crie políticas que permitam que o aplicativo ou o script execute somente essas ações. Para obter mais informações, consulte [Conceder privilégio mínimo](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) no *Guia do usuário do IAM*.
+ Crie uma função do IAM para cada WorkSpaces recurso.
Criar uma função exclusiva do IAM para cada WorkSpaces recurso é uma prática que segue os princípios de privilégios mínimos. Isso também permite que você modifique as permissões para um recurso sem afetar outros recursos.
+ Limite onde as credenciais podem ser usadas.
As políticas do IAM permitem que você defina as condições sob as quais seu perfil do IAM pode ser usado para acessar um recurso. Por exemplo, é possível incluir condições para especificar um intervalo de endereços IP dos quais as solicitações podem vir. Isso impede que as credenciais sejam usadas fora do seu ambiente. Para obter mais informações, consulte [Usar condições nas políticas para mais segurança](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#use-policy-conditions) no *Guia do usuário do IAM*.
## Configurando uma função do IAM existente para usar com instâncias WorkSpaces de streaming
Este tópico descreve como configurar uma função do IAM existente para que você possa usá-la com WorkSpaces .
**Pré-requisitos**
A função do IAM com a qual você deseja usar WorkSpaces deve atender aos seguintes pré-requisitos:
+ A função do IAM deve estar na mesma conta da Amazon Web Services que a instância WorkSpaces de streaming.
+ O perfil do IAM não pode ser um perfil de serviço.
+ A política de relacionamento de confiança anexada à função do IAM deve incluir o WorkSpaces serviço como principal. Um *diretor* é uma entidade AWS que pode realizar ações e acessar recursos. A política também deve incluir a ação `sts:AssumeRole`. Essa configuração de política é definida WorkSpaces como uma entidade confiável.
+ Se você estiver aplicando a função do IAM WorkSpaces, é WorkSpaces necessário executar uma versão do WorkSpaces agente lançada em ou após 3 de setembro de 2019. Se você estiver aplicando a função do IAM em WorkSpaces, é WorkSpaces necessário usar uma imagem que use uma versão do agente lançada na mesma data ou após ela.
**Para permitir que o responsável pelo WorkSpaces serviço assuma uma função existente do IAM**
Para executar as etapas a seguir, você deverá fazer login na conta como um usuário do IAM que tenha as permissões necessárias para listar e atualizar perfis do IAM. Se você não tiver as permissões necessárias, peça ao administrador da sua conta da Amazon Web Services para executar essas etapas na sua conta ou conceder as permissões necessárias.
1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação, selecione **Perfis**.
1. Na lista de funções em sua conta, escolha o nome da função que deseja modificar.
1. Escolha a guia **Relacionamentos de confiança** e, em seguida, selecione **Editar relacionamento de confiança**.
1. Em **Policy Document (Documento da política)**, verifique se a política de relacionamento de confiança inclui a ação `sts:AssumeRole` para o principal do serviço `workspaces.amazonaws.com`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"workspaces.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Ao concluir a edição da política de confiança, escolha **Atualizar política de confiança** para salvar as alterações.
1. A função do IAM que você selecionou será exibida no WorkSpaces console. Essa função concede permissões a aplicativos e scripts para executar ações de API e tarefas de gerenciamento nas instâncias de streaming.
## Como criar uma função do IAM para usar com instâncias WorkSpaces de streaming
Este tópico descreve como criar uma nova função do IAM para que você possa usá-la com WorkSpaces
1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação, escolha **Funções** e **Criar função**.
1. Em **Selecionar tipo de entidade confiável**, selecione **AWS serviço **.
1. Na lista de AWS serviços, escolha **WorkSpaces**.
1. Em **Selecionar seu caso de uso**, **WorkSpaces — Permite que WorkSpaces as instâncias liguem para AWS serviços em seu nome** já está selecionado. Escolha **Próximo: Permissões**.
1. Se possível, selecione a política a ser usada para a política de permissões ou escolha **Create policy (Criar política)** para abrir uma nova guia no navegador e criar uma nova política a partir do zero. Para obter mais informações, consulte a etapa 4 no procedimento [Criar políticas do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start) no *Guia do usuário do IAM*.
Depois de criar a política, feche essa guia e retorne à guia original. Marque a caixa de seleção ao lado das políticas de permissões que você WorkSpaces deseja ter.
1. (Opcional) Defina um limite de permissões. Esse é um atributo avançado que está disponível para perfis de serviço, mas não para perfis vinculados ao serviço. Para obter mais informações, consulte [Limites de permissões para entidades do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) no *Guia do usuário do IAM*.
1. Escolha **Próximo: tags**. Opcionalmente, você pode anexar tags como pares de chave/valor. Para obter mais informações, consulte [Recursos de etiquetas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) no *Guia do usuário do IAM*.
1. Escolha **Próximo: revisar**.
1. Em **Nome do perfil**, digite um nome de perfil exclusivo em sua conta da Amazon Web Services. Como outros AWS recursos podem fazer referência à função, você não pode editar o nome da função após sua criação.
1. Em **Role description (Descrição da função)**, mantenha a descrição da função padrão ou digite uma nova.
1. Reveja a função e escolha **Criar função**.
## Como usar a função do IAM com instâncias WorkSpaces de streaming
Depois de criar uma função do IAM, você pode aplicá-la WorkSpaces ao iniciar WorkSpaces. Você também pode aplicar uma função do IAM às existentes WorkSpaces.
Quando você aplica uma função do IAM WorkSpaces, WorkSpaces recupera credenciais temporárias e cria o perfil de credencial **workspaces\$1machine\$1role** na instância. As credenciais temporárias são válidas por 1 hora, e novas credenciais são recuperadas a cada hora. As credenciais anteriores não expiram, portanto, você poderá usá-las pelo tempo que forem válidas. Você pode usar o perfil de credencial para chamar AWS serviços de forma programática usando a Interface de Linha de AWS Comando (AWSCLI), o AWS Tools for PowerShell ou o AWS SDK com o idioma de sua escolha.
Ao fazer chamadas de API, especifique **workspaces\$1machine\$1role** como o perfil de credencial. Caso contrário, haverá falha na operação devido a permissões insuficientes.
WorkSpaces assume a função especificada enquanto a instância de streaming é provisionada. Como WorkSpaces usa a interface de rede elástica que está conectada à sua VPC para chamadas de AWS API, seu aplicativo ou script deve esperar que a interface de rede elástica fique disponível antes de fazer chamadas de AWS API. Se as chamadas de API forem feitas antes que a interface de rede elástica esteja disponível, haverá falha nas chamadas.
Os exemplos a seguir mostram como você pode usar o perfil de credencial **workspaces\$1machine\$1role** para descrever instâncias de streaming (EC2 instâncias) e criar o cliente Boto. Boto é o Amazon Web Services (AWS) SDK para Python.
**Descrever instâncias de streaming (EC2 instâncias) usando a AWS CLI**
```
aws ec2 describe-instances --region us-east-1 --profile workspaces_machine_role
```
**Descreva instâncias de streaming (EC2 instâncias) usando AWS ferramentas para PowerShell**
Você deve usar o AWS Tools para a PowerShell versão 3.3.563.1 ou posterior, com o SDK da Amazon Web Services para .NET versão 3.3.103.22 ou posterior. Você pode baixar o instalador do AWS Tools for Windows, que inclui o AWS Tools for PowerShell e o Amazon Web Services SDK for .NET, [AWSno site Tools PowerShell](https://aws.amazon.com/powershell/) for.
```
Get-EC2Instance -Region us-east-1 -ProfileName workspaces_machine_role
```
**Criando o cliente Boto usando o AWS SDK para Python**
```
session = boto3.Session(profile_name=workspaces_machine_role')
```
# Referência de permissões de operações do Amazon WorkSpaces Console
Algumas APIs do Amazon WorkSpaces só podem ser chamadas por meio do Console de gerenciamento da AWS. Elas não são APIs públicas, no sentido de que não podem ser chamadas programaticamente e não são fornecidas por nenhum SDK. Essas operações de API incluem:
+ workspaces:DirectoryAccessManagement
+ workspaces:CreateRootClientCertificate
+ workspaces:UpdateRootClientCertificate
+ workspaces:DeleteRootClientCertificate
+ workspaces:DescribeConsent
+ workspaces:UpdateConsent
## Operações do Console do WorkSpaces e permissões necessárias para ações
O console usa ações de API adicionais para seus recursos, pois as permissões para as APIs públicas do WorkSpaces talvez não sejam suficientes. Por exemplo, um usuário que tem permissões para usar a API [CreateWorkspaces](https://docs.aws.amazon.com/workspaces/latest/api/API_CreateWorkspaces.html) via CLI/SDK pode encontrar erros ao tentar criar um WorkSpace no console, pois estão faltando determinadas permissões para selecionar ou criar usuários. Esta tabela lista os recursos que estão disponíveis somente no console do WorkSpaces e as permissões adicionais necessárias que permitem que os usuários trabalhem com essas partes específicas do console.
A seção [Exemplos de políticas](https://docs.aws.amazon.com/workspaces/latest/adminguide/workspaces-access-control.html#workspaces-example-iam-policies) fornece a lista de permissões para realizar todas as tarefas do WorkSpaces para WorkSpaces Personal, Pools e BYOL.
Como alternativa, você também pode usar permissões granulares para aplicar permissões de privilégio mínimo para realizar uma tarefa.
Esta tabela lista os atributos do WorkSpaces Console que dependem das APIs que não são fornecidas pelo SDK e as permissões necessárias que permitem que os usuários trabalhem com essas partes específicas do console. Essas permissões devem ser adicionadas além de outras ações necessárias para as APIs fornecidas pelo SDK.
| Operações do WorkSpaces Console | Permissões obrigatórias |
| --- | --- |
| [Configuração rápida do WorkSpaces Personal](https://docs.aws.amazon.com/workspaces/latest/adminguide/managing-wsp-personal.html#getting-started) | workspaces:DirectoryAccessManagement ds:\$1 ec2:CreateVpc ec2:CreateSubnet ec2:CreateNetworkInterface ec2:CreateInternetGateway ec2:CreateRouteTable ec2:CreateRoute ec2:CreateTags ec2:CreateSecurityGroup ec2:DescribeInternetGateways ec2:DescribeSecurityGroups ec2:DescribeRouteTables ec2:DescribeVpcs ec2:DescribeSubnets ec2:DescribeNetworkInterfaces ec2:DescribeAvailabilityZones ec2:AttachInternetGateway ec2:AssociateRouteTable ec2:AuthorizeSecurityGroupIngress ec2:AuthorizeSecurityGroupEgress iam:CreateRole iam:GetRole iam:PutRolePolicy workspaces:DescribeAccount workspaces:DescribeWorkspaceDirectories workspaces:CreateWorkspaces workspaces:DescribeWorkspaces workspaces:RegisterWorkspaceDirectory workspaces:DescribeWorkspaceBundles workspaces:DescribeWorkspaces |
| [Restringir o acesso a WorkSpaces Personal para dispositivos confiáveis](https://docs.aws.amazon.com/workspaces/latest/adminguide/trusted-devices.html#configure-restriction) | workspaces:CreateRootClientCertificate workspaces:UpdateRootClientCertificate workspaces:DeleteRootClientCertificate ds:DescribeDirectories ec2:DescribeSubnets ec2:DescribeSecurityGroups workspaces:DescribeAccount workspaces:DescribeWorkspaceDirectories workspaces:DescribeTags workspaces:DescribeClientProperties workspaces:DescribeConnectClientAddins workspaces:DirectoryAccessManagement |
| [Criação de um WorkSpace no WorkSpaces Personal no console](https://docs.aws.amazon.com/workspaces/latest/adminguide/create-workspaces-personal.html): para criar/pesquisar/descrever usuários do diretório Directory Service | workspaces:DirectoryAccessManagement workspaces:DescribeAccount workspaces:CreateWorkspaces workspaces:DescribeWorkspaces workspaces:DescribeWorkspaceDirectories workspaces:DescribeWorkspaceBundles workspaces:DescribeTags workspaces:CreateTags workspaces:DescribeClientProperties kms:ListKeys kms:ListAliases kms:DescribeKey ds:DescribeTrusts ds:DescribeDirectories ec2:DescribeSubnets ec2:DescribeSecurityGroups |
| [Gerenciar usuários no WorkSpaces Personal](https://docs.aws.amazon.com/workspaces/latest/adminguide/manage-workspaces-users.html): para editar usuários e enviar e-mails de convite para usuários | workspaces:DirectoryAccessManagement workspaces:DescribeAccount workspaces:DescribeWorkspaceDirectories workspaces:DescribeWorkspaces workspaces:DescribeTags workspaces:DescribeWorkspaceBundles workspaces:DescribeWorkspacesConnectionStatus workspaces:DescribeWorkspaceAssociations workspaces:DescribeWorkspaceSnapshots workspaces:DescribeWorkspaceImages workspaces:DescribeConnectionAliases |
| [Atualizar a conta do AD Connector (AD Connector) para o WorkSpaces Personal](https://docs.aws.amazon.com/workspaces/latest/adminguide/connect-account.html) | workspaces:DirectoryAccessManagement ds:DescribeDirectories ds:UpdateDirectory ec2:DescribeSubnets ec2:DescribeSecurityGroups workspaces:DescribeAccount workspaces:DescribeWorkspaceDirectories workspaces:DescribeTags workspaces:DescribeClientProperties workspaces:DescribeConnectClientAddins |
| [Selecionar uma unidade organizacional para o WorkSpaces Personal](https://docs.aws.amazon.com/workspaces/latest/adminguide/select-ou.html) | workspaces:DirectoryAccessManagement ds:DescribeDirectories ec2:DescribeSubnets ec2:DescribeSecurityGroups workspaces:DescribeAccount workspaces:DescribeWorkspaceDirectories workspaces:DescribeTags workspaces:DescribeClientProperties workspaces:DescribeConnectClientAddins workspaces:ModifyWorkspaceCreationProperties |
| [Habilite sua conta para BYOL](https://docs.aws.amazon.com/workspaces/latest/adminguide/byol-windows-images.html): para confirmar a compreensão dos requisitos para usar o WorkSpaces BYOL | workspaces:DescribeConsent workspaces:UpdateConsent workspaces:DescribeAccount workspaces:ListAccountLinks workspaces:DescribeWorkspaceBundles workspaces:DescribeWorkspaceImages workspaces:DescribeWorkspaceDirectories |