终止支持通知:2027 年 3 月 31 日, AWS 将终止对亚马逊 WorkSpaces 瘦客户机的支持。2027 年 3 月 31 日之后,您将无法再访问 WorkSpaces 瘦客户机控制台或 WorkSpaces 瘦客户机资源。有关更多信息,请参阅 [Amazon WorkSpaces 瘦客户机终止支持](https://docs.aws.amazon.com/workspaces-thin-client/latest/ag/workspacesthinclient-end-of-support.html)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS Amazon WorkSpaces 瘦客户机的托管策略
AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住, AWS 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于使用案例的[客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)来进一步减少权限。
您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 AWS 最有可能在启动新的 API 或现有服务可以使用新 AWS 服务 的 API 操作时更新 AWS 托管策略。
有关更多信息,请参阅《IAM 用户指南》**中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
## AWS 托管策略: AmazonWorkSpacesThinClientReadOnlyAccess
您可以将 `AmazonWorkSpacesThinClientReadOnlyAccess` 策略附加到 IAM 身份。此策略授予对 WorkSpaces 瘦客户机服务及其依赖项的完全访问权限。有关此托管策略的更多信息,请参阅《*AWS 托管策略参考指南》[ AmazonWorkSpacesThinClientReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonWorkSpacesThinClientReadOnlyAccess.html)*中的。
**权限详细信息**
该策略包含以下权限。
+ `thinclient`(WorkSpaces 瘦客户机)-允许对所有 WorkSpaces 瘦客户机操作进行只读访问。
+ `workspaces`(WorkSpaces)-允许描述 WorkSpaces 目录和连接别名的权限。这用于检查您的 WorkSpaces 资源是否与 WorkSpaces 瘦客户机兼容。它还用于在 WorkSpaces 瘦客户机 AWS 控制台中显示这些资源。
+ `workspaces-web`(WorkSpaces Secure Browser)-允许描述 WorkSpaces Secure Browser门户和用户设置的权限。这用于检查您的 WorkSpaces Secure Browser资源是否与 WorkSpaces 瘦客户机兼容。它还用于在 WorkSpaces 瘦客户机 AWS 控制台中显示这些资源。
+ `appstream`(WorkSpaces 应用程序)-允许描述 WorkSpaces 应用程序堆栈的权限。这用于检查您的 WorkSpaces 应用程序资源是否与 WorkSpaces 瘦客户机兼容。它还用于在 WorkSpaces 瘦客户机 AWS 控制台中显示这些资源。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowThinClientReadAccess",
"Effect": "Allow",
"Action": [
"thinclient:GetDevice",
"thinclient:GetDeviceDetails",
"thinclient:GetEnvironment",
"thinclient:GetSoftwareSet",
"thinclient:ListDevices",
"thinclient:ListDeviceSessions",
"thinclient:ListEnvironments",
"thinclient:ListSoftwareSets",
"thinclient:ListTagsForResource"
],
"Resource": "*"
},
{
"Sid": "AllowWorkSpacesAccess",
"Effect": "Allow",
"Action": [
"workspaces:DescribeConnectionAliases",
"workspaces:DescribeWorkspaceDirectories"
],
"Resource": "*"
},
{
"Sid": "AllowWorkSpacesSecureBrowserAccess",
"Effect": "Allow",
"Action": [
"workspaces-web:GetPortal",
"workspaces-web:GetUserSettings",
"workspaces-web:ListPortals"
],
"Resource": "*"
},
{
"Sid": "AllowAppStreamAccess",
"Effect": "Allow",
"Action": [
"appstream:DescribeStacks"
],
"Resource": "*"
}
]
}
```
------
## AWS 托管策略: AmazonWorkSpacesThinClientFullAccess
您可以将 `AmazonWorkSpacesThinClientFullAccess` 策略附加到 IAM 身份。此策略授予对 WorkSpaces 瘦客户机服务及其依赖项的完全访问权限。有关此托管策略的更多信息,请参阅[ AmazonWorkSpacesThinClientFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonWorkSpacesThinClientFullAccess.html)《*AWS 托管策略参考指南》*。
**权限详细信息**
该策略包含以下权限:
+ `thinclient`(WorkSpaces 瘦客户机)-允许完全访问所有 WorkSpaces 瘦客户机操作。
+ `workspaces`(WorkSpaces)-允许描述 WorkSpaces 目录和连接别名的权限。这用于检查您的 WorkSpaces 资源是否与 WorkSpaces 瘦客户机兼容。它还用于在 WorkSpaces 瘦客户机 AWS 控制台中显示这些资源。
+ `workspaces-web`(WorkSpaces Secure Browser)-允许描述 WorkSpaces Secure Browser门户和用户设置的权限。这用于检查您的 WorkSpaces Secure Browser资源是否与 WorkSpaces 瘦客户机兼容。它还用于在 WorkSpaces 瘦客户机 AWS 控制台中显示这些资源。
+ `appstream`(WorkSpaces 应用程序)-允许描述 WorkSpaces 应用程序堆栈的权限。这用于检查您的 WorkSpaces 应用程序资源是否与 WorkSpaces 瘦客户机兼容。它还用于在 WorkSpaces 瘦客户机 AWS 控制台中显示这些资源。
+ `iam`— 允许 WorkSpaces 瘦客户机在您的帐户中创建服务相关角色。此角色允许 WorkSpaces 瘦客户机代表您向 CloudWatch 发布指标。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowThinClientFullAccess",
"Effect": "Allow",
"Action": [
"thinclient:*"
],
"Resource": "*"
},
{
"Sid": "AllowWorkSpacesAccess",
"Effect": "Allow",
"Action": [
"workspaces:DescribeConnectionAliases",
"workspaces:DescribeWorkspaceDirectories"
],
"Resource": "*"
},
{
"Sid": "AllowWorkSpacesSecureBrowserAccess",
"Effect": "Allow",
"Action": [
"workspaces-web:GetPortal",
"workspaces-web:GetUserSettings",
"workspaces-web:ListPortals"
],
"Resource": "*"
},
{
"Sid": "AllowAppStreamAccess",
"Effect": "Allow",
"Action": [
"appstream:DescribeStacks"
],
"Resource": "*"
},
{
"Sid": "AllowCreateServiceLinkedRole",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/monitoring.thinclient.amazonaws.com/AWSServiceRoleForAmazonWorkSpacesThinClientMonitoring",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "monitoring.thinclient.amazonaws.com"
}
}
}
]
}
```
------
## WorkSpaces AWS 托管策略的瘦客户机更新
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| AmazonWorkSpacesThinClientMonitoringServiceRolePolicy— 已删除政策 | WorkSpaces 瘦客户机删除了该 AmazonWorkSpacesThinClientMonitoringServiceRolePolicy 部分。 | 2025 年 11 月 12 日 |
| [AmazonWorkSpacesThinClientFullAccess](#security-iam-awsmanpol-AmazonWorkSpacesThinClientFullAccess) - 更新的策略 AmazonWorkSpacesThinClientMonitoringServiceRolePolicy:新策略 | WorkSpaces 瘦客户机更新了政策,将服务关联角色包括在内。 | 2025 年 8 月 26 日 |
| [AmazonWorkSpacesThinClientReadOnlyAccess](#security-iam-awsmanpol-AmazonWorkSpacesThinClientReadOnlyAccess) - 更新的策略 | WorkSpaces Thin Client 更新了政策,增加了对设备详细信息和 WorkSpaces 连接别名的有限读取权限。 | 2025 年 1 月 9 日 |
| [AmazonWorkSpacesThinClientFullAccess](#security-iam-awsmanpol-AmazonWorkSpacesThinClientFullAccess) - 更新的策略 | WorkSpaces Thin Client 更新了策略,增加了 WorkSpaces 连接别名的有限读取权限。 | 2025 年 1 月 9 日 |
| [AmazonWorkSpacesThinClientReadOnlyAccess](#security-iam-awsmanpol-AmazonWorkSpacesThinClientReadOnlyAccess) - 更新的策略 | WorkSpaces 瘦客户机更新了策略,增加了对 WorkSpaces 应用程序、 WorkSpaces Web 和的有限读取权限 WorkSpaces。 | 2024 年 8 月 9 日 |
| [AmazonWorkSpacesThinClientFullAccess](#security-iam-awsmanpol-AmazonWorkSpacesThinClientFullAccess):新策略 | 提供对 Amazon Th WorkSpaces in Client 的完全访问权限以及对所需相关服务的有限访问权限。 | 2024 年 8 月 9 日 |
| [AmazonWorkSpacesThinClientReadOnlyAccess](#security-iam-awsmanpol-AmazonWorkSpacesThinClientReadOnlyAccess):新策略 | 提供对 Amazon WorkSpaces 瘦客户机及其依赖项的只读访问权限。 | 2024 年 7 月 19 日 |
| WorkSpaces 瘦客户机开始跟踪更改 | WorkSpaces 瘦客户机开始跟踪其 AWS 托管策略的更改。 | 2024 年 7 月 19 日 |