终止支持通知: AWS 将于 2024 年 10 月 22 日停止对亚马逊 Nimble Studio 的支持。2024 年 10 月 22 日之后,你将无法再访问 Nimble Studio 主机或 Nimble Studio 资源。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS 亚马逊 Nimble Studio 的托管政策
要向用户、群组和角色添加权限,使用 AWS 托管策略比自己编写策略要容易得多。创建仅为团队提供所需权限的 IAM 客户管理型策略需要时间和专业知识。要快速入门,您可以使用我们的 AWS 托管策略。这些策略涵盖常见使用案例,可在您的 AWS 账户中使用。有关 AWS 托管策略的更多信息,请参阅 IAM 用户指南中的AWS 托管策略。
AWS 服务维护和更新 AWS 托管策略。您无法更改 AWS 托管策略中的权限。服务偶尔会向 AWS 托管式策略添加额外权限以支持新特征。此类更新会影响附加策略的所有身份(用户、组和角色)。当启动新特征或新操作可用时,服务最有可能会更新 AWS 托管式策略。服务不会从 AWS 托管策略中移除权限,因此策略更新不会破坏您的现有权限。
此外,还 AWS 支持跨多个服务的工作职能的托管策略。例如,ReadOnlyAccess AWS 托管策略提供对所有 AWS 服务和资源的只读访问权限。当服务启动新特征时, AWS 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅《IAM 用户指南》中的适用于工作职能的AWS 托管策略。
您的最终用户将主要使用 Nimble Studio 门户网站访问 Amazon Nimble Studio。使用 StudioBuilder 或 Nimble Studio 控制台创建工作室时,会为每个工作室角色创建一个 IAM 角色:工作室管理员和工作室用户。每个角色都附加了各自的 IAM 托管策略。Nimble Studio 门户提供的体验是,用户只能列出和使用他们有权访问的资源。
Nimble Studio 门户提供的体验是,用户只能列出和使用他们有权访问的资源,并且门户的正常操作须依赖于这些策略的内容。Nimble Studio 的最终用户将使用该门户访问他们的云工作室。因此,当管理员使用创建工作室时 StudioBuilder,会为需要访问工作室的每个人创建一个 IAM 角色。这包括工作室管理员和工作室用户,他们都附加了各自的 IAM 托管策略。
有关工作职能策略的列表和说明,请参阅《IAM 用户指南》中的适用于工作职能的AWS 托管策略。
AWS 托管策略:AmazonNimbleStudio-LaunchProfileWorker
您可以将 AmazonNimbleStudio-LaunchProfileWorker
将此策略附加到 Nimble Studio Builder 创建的 EC2 实例,以授予对 Nimble Studio 启动配置文件工作人员所需资源的访问权限。
权限详细信息
该策略包含以下权限。
-
ds-允许 LaunchProfile 工作人员发现 AWS Managed Microsoft AD 与关联的的连接信息 LaunchProfile。
-
ec2-允许 LaunchProfile 工作人员发现用于连接的安全组和子网信息 LaunchProfile。
-
fsx-允许 LaunchProfile 工作人员发现与关联的 Amazon FSx 卷的连接信息。 LaunchProfile
{ "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeNetworkInterfaces", "ec2:DescribeSecurityGroups", "fsx:DescribeFileSystems", "ds:DescribeDirectories" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "aws:CalledViaLast": "nimble.amazonaws.com" } }, "Sid": "GetLaunchProfileInitializationDependencies" } ], "Version": "2012-10-17" }
AWS 托管策略:AmazonNimbleStudio-StudioAdmin
您可以将 AmazonNimbleStudio-StudioAdmin
将此策略附加到与工作室关联的管理员角色,以授予访问权限以访问与工作室管理员关联的 Amazon Nimble Studio 资源以及其他服务中的相关工作室资源。
权限详细信息
该策略包含以下权限。
-
灵活-允许 Studio 用户访问委托给他们的 Nimble 资源。 StudioAdmins
-
sso:允许工作室用户查看工作室中其他用户的姓名。
-
identitystore:允许工作室用户查看工作室中其他用户的姓名。
-
ds-允许 Nimble Studio 向与工作室 AWS Managed Microsoft AD 关联的虚拟工作站添加虚拟工作站。
-
ec2:允许 Nimble Studio 将虚拟工作站附加到您配置的 VPC。
-
fsx-允许 Nimble Studio 将虚拟工作站连接到您配置的亚马逊 FSx卷。
-
cloudwatch-允许 Nimble Studio 检索指标 CloudWatch 。
{ "Statement": [ { "Sid": "StudioAdminFullAccess", "Effect": "Allow", "Action": [ "nimble:CreateStreamingSession", "nimble:GetStreamingSession", "nimble:StartStreamingSession", "nimble:StopStreamingSession", "nimble:CreateStreamingSessionStream", "nimble:GetStreamingSessionStream", "nimble:DeleteStreamingSession", "nimble:ListStreamingSessionBackups", "nimble:GetStreamingSessionBackup", "nimble:ListEulas", "nimble:ListEulaAcceptances", "nimble:GetEula", "nimble:AcceptEulas", "nimble:ListStudioMembers", "nimble:GetStudioMember", "nimble:ListStreamingSessions", "nimble:GetStreamingImage", "nimble:ListStreamingImages", "nimble:GetLaunchProfileInitialization", "nimble:GetLaunchProfileDetails", "nimble:GetFeatureMap", "nimble:PutStudioLogEvents", "nimble:ListLaunchProfiles", "nimble:GetLaunchProfile", "nimble:GetLaunchProfileMember", "nimble:ListLaunchProfileMembers", "nimble:PutLaunchProfileMembers", "nimble:UpdateLaunchProfileMember", "nimble:DeleteLaunchProfileMember" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "sso-directory:DescribeUsers", "sso-directory:SearchUsers", "identitystore:DescribeUser", "identitystore:ListUsers" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "ds:CreateComputer", "ds:DescribeDirectories", "ec2:DescribeSubnets", "ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces", "ec2:DeleteNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterfacePermission", "ec2:DescribeSecurityGroups", "fsx:DescribeFileSystems" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "aws:CalledViaLast": "nimble.amazonaws.com" } } }, { "Effect": "Allow", "Action": "cloudwatch:GetMetricData", "Resource": "*", "Condition": { "StringEquals": { "cloudwatch:namespace": "AWS/NimbleStudio" } } } ], "Version": "2012-10-17" }
AWS 托管策略:AmazonNimbleStudio-StudioUser
您可以将 AmazonNimbleStudio-StudioUser
将此策略附加到与工作室关联的用户角色,授予访问权限以访问与工作室用户关联的 Amazon Nimble Studio 资源以及其他服务中的相关工作室资源。
权限详细信息
该策略包含以下权限。
-
灵活-允许 Studio 用户访问委托给他们的 Nimble 资源。 StudioAdmins
-
sso:允许工作室用户查看工作室中其他用户的姓名。
-
identitystore:允许工作室用户查看工作室中其他用户的姓名。
-
ds-允许 Nimble Studio 向与工作室 AWS Managed Microsoft AD 关联的虚拟工作站添加虚拟工作站。
-
ec2:允许 Nimble Studio 将虚拟工作站附加到您配置的 VPC。
-
fsx-允许 Nimble Studio 将虚拟工作站连接到您配置的亚马逊 FSx卷。
{ "Statement": [ { "Effect": "Allow", "Action": [ "ds:CreateComputer", "ec2:DescribeSubnets", "ec2:CreateNetworkInterfacePermission", "ec2:DescribeNetworkInterfaces", "ec2:DeleteNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:CreateNetworkInterface", "ec2:DescribeSecurityGroups", "fsx:DescribeFileSystems", "ds:DescribeDirectories" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "aws:CalledViaLast": "nimble.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "sso-directory:DescribeUsers", "sso-directory:SearchUsers", "identitystore:DescribeUser", "identitystore:ListUsers" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "nimble:ListLaunchProfiles" ], "Resource": "*", "Condition": { "StringEquals": { "nimble:requesterPrincipalId": "${nimble:principalId}" } } }, { "Effect": "Allow", "Action": [ "nimble:ListStudioMembers", "nimble:GetStudioMember", "nimble:ListEulas", "nimble:ListEulaAcceptances", "nimble:GetFeatureMap", "nimble:PutStudioLogEvents" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "nimble:StartStreamingSession", "nimble:StopStreamingSession", "nimble:DeleteStreamingSession", "nimble:GetStreamingSession", "nimble:CreateStreamingSessionStream", "nimble:GetStreamingSessionStream", "nimble:ListStreamingSessions" "nimble:ListStreamingSessionBackups", "nimble:GetStreamingSessionBackup" ], "Resource": "*", "Condition": { "StringEquals": { "nimble:ownedBy": "${nimble:requesterPrincipalId}" } } } ], "Version": "2012-10-17" }
Nimble Studio 更新了 AWS 托管策略
查看自 Amazon Nimble Studio AWS 托管政策开始跟踪这些变更以来该服务更新的详细信息。
| 更改 | 描述 | 日期 |
|---|---|---|
|
Amazon Nimble Studio 更新了使用最新版身份存储服务的策略。 |
2023 年 9 月 22 日 |
|
|
Amazon Nimble Studio 更新了使用最新版身份存储服务的策略。 |
2023 年 9 月 22 日 |
|
|
Amazon Nimble Studio 更新策略以允许工作室用户查看其工作站备份。 |
2022 年 12 月 20 日 |
|
|
Amazon Nimble Studio 更新策略以允许工作室管理员查看其工作站备份。 |
2022 年 12 月 20 日 |
|
|
Amazon Nimble Studio 更新了一项政策,允许工作室管理员检索 CloudWatch指标。 |
2021 年 11 月 11 日 |
|
|
Amazon Nimble Studio 更新策略以允许工作室用户启动和停止工作站。 |
2021 年 11 月 1 日 |
|
|
Amazon Nimble Studio 更新策略以允许工作室管理员启动和停止工作站。 |
2021 年 11 月 1 日 |
|
|
Amazon Nimble Studio 更新策略,以便有条件地允许访问基于 |
2021 年 8 月 16 日 |
|
|
Amazon Nimble Studio 添加了一项新策略,此策略允许访问与工作室用户相关的资源以及其他服务中的相关工作室资源。 |
2021 年 4 月 28 日 |
|
|
Amazon Nimble Studio 添加了一项新策略,此策略允许访问与工作室管理员相关的资源以及其他服务中的相关工作室资源。 |
2021 年 4 月 28 日 |
|
|
Amazon Nimble Studio 添加了一项新策略,此策略允许访问 Nimble Studio 启动配置文件工作人员所需的资源。 |
2021 年 4 月 28 日 |
|
|
Amazon Nimble Studio 开始跟踪变更 |
Amazon Nimble Studio 开始跟踪其 AWS 托管政策的变更。 |
2021 年 4 月 28 日 |
