WorkSpaces 安全浏览器的服务相关角色权限 - Amazon WorkSpaces 安全浏览器

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

WorkSpaces 安全浏览器的服务相关角色权限

WorkSpaces 安全浏览器使用名为的服务相关角色 AWSServiceRoleForAmazonWorkSpacesWeb —— WorkSpaces 安全浏览器使用此服务相关角色访问客户账户的亚马逊 EC2 资源以获取流媒体实例和 CloudWatch 指标。

AWSServiceRoleForAmazonWorkSpacesWeb 服务相关角色信任以下服务代入该角色:

  • workspaces-web.amazonaws.com

名为的角色权限策略AmazonWorkSpacesWebServiceRolePolicy允许 WorkSpaces Secure Browser 对指定资源完成以下操作。有关更多信息,请参阅 AWS 托管策略: AmazonWorkSpacesWebServiceRolePolicy

  • 操作:all AWS resources 上的 ec2:DescribeVpcs

  • 操作:ec2:DescribeSubnets 上的 all AWS resources

  • 操作:ec2:DescribeAvailabilityZones 上的 all AWS resources

  • 操作:针对子网和安全组资源的 ec2:CreateNetworkInterface 操作(通过 aws:RequestTag/WorkSpacesWebManaged: true

  • 操作:all AWS resources 上的 ec2:DescribeNetworkInterfaces

  • 操作:针对网络接口的 ec2:DeleteNetworkInterface 操作(通过 aws:ResourceTag/WorkSpacesWebManaged: true

  • 操作:all AWS resources 上的 ec2:DescribeSubnets

  • 操作:ec2:AssociateAddress 上的 all AWS resources

  • 操作:ec2:DisassociateAddress 上的 all AWS resources

  • 操作:ec2:DescribeRouteTables 上的 all AWS resources

  • 操作:ec2:DescribeSecurityGroups 上的 all AWS resources

  • 操作:ec2:DescribeVpcEndpoints 上的 all AWS resources

  • 操作:针对 ec2:CreateNetworkInterfaceec2:CreateTags 操作(通过 aws:TagKeys: ["WorkSpacesWebManaged"]

  • 操作:all AWS resources 上的 cloudwatch:PutMetricData

  • 操作:针对名称以 amazon-workspaces-web- 开头的 Kinesis 数据流的 kinesis:PutRecord 操作

  • 操作:针对名称以 amazon-workspaces-web- 开头的 Kinesis 数据流的 kinesis:PutRecords 操作

  • 操作:针对名称以 amazon-workspaces-web- 开头的 Kinesis 数据流的 kinesis:DescribeStreamSummary 操作

您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的服务相关角色权限