Referência de permissões de operações do Amazon WorkSpaces Console
Algumas APIs do Amazon WorkSpaces só podem ser chamadas por meio do Console de gerenciamento da AWS. Elas não são APIs públicas, no sentido de que não podem ser chamadas programaticamente e não são fornecidas por nenhum SDK. Essas operações de API incluem:
workspaces:DirectoryAccessManagement
workspaces:CreateRootClientCertificate
workspaces:UpdateRootClientCertificate
workspaces:DeleteRootClientCertificate
workspaces:DescribeConsent
workspaces:UpdateConsent
Operações do Console do WorkSpaces e permissões necessárias para ações
O console usa ações de API adicionais para seus recursos, pois as permissões para as APIs públicas do WorkSpaces talvez não sejam suficientes. Por exemplo, um usuário que tem permissões para usar a API CreateWorkspaces via CLI/SDK pode encontrar erros ao tentar criar um WorkSpace no console, pois estão faltando determinadas permissões para selecionar ou criar usuários. Esta tabela lista os recursos que estão disponíveis somente no console do WorkSpaces e as permissões adicionais necessárias que permitem que os usuários trabalhem com essas partes específicas do console.
A seção Exemplos de políticas fornece a lista de permissões para realizar todas as tarefas do WorkSpaces para WorkSpaces Personal, Pools e BYOL.
Como alternativa, você também pode usar permissões granulares para aplicar permissões de privilégio mínimo para realizar uma tarefa.
Esta tabela lista os atributos do WorkSpaces Console que dependem das APIs que não são fornecidas pelo SDK e as permissões necessárias que permitem que os usuários trabalhem com essas partes específicas do console. Essas permissões devem ser adicionadas além de outras ações necessárias para as APIs fornecidas pelo SDK.
| Operações do WorkSpaces Console | Permissões obrigatórias |
|---|---|
|
workspaces:DirectoryAccessManagement ds:* ec2:CreateVpc ec2:CreateSubnet ec2:CreateNetworkInterface ec2:CreateInternetGateway ec2:CreateRouteTable ec2:CreateRoute ec2:CreateTags ec2:CreateSecurityGroup ec2:DescribeInternetGateways ec2:DescribeSecurityGroups ec2:DescribeRouteTables ec2:DescribeVpcs ec2:DescribeSubnets ec2:DescribeNetworkInterfaces ec2:DescribeAvailabilityZones ec2:AttachInternetGateway ec2:AssociateRouteTable ec2:AuthorizeSecurityGroupIngress ec2:AuthorizeSecurityGroupEgress iam:CreateRole iam:GetRole iam:PutRolePolicy workspaces:DescribeAccount workspaces:DescribeWorkspaceDirectories workspaces:CreateWorkspaces workspaces:DescribeWorkspaces workspaces:RegisterWorkspaceDirectory workspaces:DescribeWorkspaceBundles workspaces:DescribeWorkspaces |
|
|
Restringir o acesso a WorkSpaces Personal para dispositivos confiáveis |
workspaces:CreateRootClientCertificate workspaces:UpdateRootClientCertificate workspaces:DeleteRootClientCertificate ds:DescribeDirectories ec2:DescribeSubnets ec2:DescribeSecurityGroups workspaces:DescribeAccount workspaces:DescribeWorkspaceDirectories workspaces:DescribeTags workspaces:DescribeClientProperties workspaces:DescribeConnectClientAddins workspaces:DirectoryAccessManagement |
|
Criação de um WorkSpace no WorkSpaces Personal no console: para criar/pesquisar/descrever usuários do diretório Directory Service |
workspaces:DirectoryAccessManagement workspaces:DescribeAccount workspaces:CreateWorkspaces workspaces:DescribeWorkspaces workspaces:DescribeWorkspaceDirectories workspaces:DescribeWorkspaceBundles workspaces:DescribeTags workspaces:CreateTags workspaces:DescribeClientProperties kms:ListKeys kms:ListAliases kms:DescribeKey ds:DescribeTrusts ds:DescribeDirectories ec2:DescribeSubnets ec2:DescribeSecurityGroups |
|
Gerenciar usuários no WorkSpaces Personal: para editar usuários e enviar e-mails de convite para usuários |
workspaces:DirectoryAccessManagement workspaces:DescribeAccount workspaces:DescribeWorkspaceDirectories workspaces:DescribeWorkspaces workspaces:DescribeTags workspaces:DescribeWorkspaceBundles workspaces:DescribeWorkspacesConnectionStatus workspaces:DescribeWorkspaceAssociations workspaces:DescribeWorkspaceSnapshots workspaces:DescribeWorkspaceImages workspaces:DescribeConnectionAliases |
|
Atualizar a conta do AD Connector (AD Connector) para o WorkSpaces Personal |
workspaces:DirectoryAccessManagement ds:DescribeDirectories ds:UpdateDirectory ec2:DescribeSubnets ec2:DescribeSecurityGroups workspaces:DescribeAccount workspaces:DescribeWorkspaceDirectories workspaces:DescribeTags workspaces:DescribeClientProperties workspaces:DescribeConnectClientAddins |
|
Selecionar uma unidade organizacional para o WorkSpaces Personal |
workspaces:DirectoryAccessManagement ds:DescribeDirectories ec2:DescribeSubnets ec2:DescribeSecurityGroups workspaces:DescribeAccount workspaces:DescribeWorkspaceDirectories workspaces:DescribeTags workspaces:DescribeClientProperties workspaces:DescribeConnectClientAddins workspaces:ModifyWorkspaceCreationProperties |
|
Habilite sua conta para BYOL: para confirmar a compreensão dos requisitos para usar o WorkSpaces BYOL |
workspaces:DescribeConsent workspaces:UpdateConsent workspaces:DescribeAccount workspaces:ListAccountLinks workspaces:DescribeWorkspaceBundles workspaces:DescribeWorkspaceImages workspaces:DescribeWorkspaceDirectories |
