本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS 的托管策略 WorkSpaces
与自己编写策略相比,使用 AWS 托管策略可以更轻松地向用户、群组和角色添加权限。创建仅为团队提供所需权限的 [IAM 客户托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)需要时间和专业知识。使用 AWS 托管策略快速入门。这些政策涵盖常见用例,可在您的 AWS 账户中使用。有关 AWS 托管策略的更多信息,请参阅 *IAM 用户指南*中的[AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
AWS 服务维护和更新 AWS 托管策略。您无法更改 AWS 托管策略中的权限。服务偶尔可能会向 AWS 托管策略添加其他权限以支持新功能。此类更新会影响附加策略的所有身份(用户、组和角色)。当推出新功能或有新操作可用时,服务最有可能更新 AWS 托管策略。服务不会从 AWS 托管策略中移除权限,因此策略更新不会破坏您的现有权限。
此外,还 AWS 支持跨多个服务的工作职能的托管策略。例如,`ReadOnlyAccess` AWS 托管策略提供对所有 AWS 服务和资源的只读访问权限。当服务启动新特征时, AWS 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅 *IAM 用户指南*中的[适用于工作职能的AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
## AWS 托管策略: AmazonWorkSpacesAdmin
**注意**
列出的权限仅适用于 SDK,不适用于控制台。控制台需要 [Amazon WorkSpaces 控制台操作权限参考中列出的其他权限](wsp-console-permissions-ref.md)。
该政策允许访问Amazon的 WorkSpaces 管理操作。它提供以下权限:
+ `workspaces`-允许访问对 WorkSpaces 个人资源和资源 WorkSpaces 池资源执行管理操作。
+ `kms` - 允许访问列出和描述 KMS 密钥以及列出别名。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonWorkSpacesAdmin",
"Effect": "Allow",
"Action": [
"kms:DescribeKey",
"kms:ListAliases",
"kms:ListKeys",
"workspaces:CreateTags",
"workspaces:CreateWorkspaceImage",
"workspaces:CreateWorkspaces",
"workspaces:CreateWorkspacesPool",
"workspaces:CreateStandbyWorkspaces",
"workspaces:DeleteTags",
"workspaces:DeregisterWorkspaceDirectory",
"workspaces:DescribeTags",
"workspaces:DescribeWorkspaceBundles",
"workspaces:DescribeWorkspaceDirectories",
"workspaces:DescribeWorkspaces",
"workspaces:DescribeWorkspacesPools",
"workspaces:DescribeWorkspacesPoolSessions",
"workspaces:DescribeWorkspacesConnectionStatus",
"workspaces:ModifyCertificateBasedAuthProperties",
"workspaces:ModifySamlProperties",
"workspaces:ModifyStreamingProperties",
"workspaces:ModifyWorkspaceCreationProperties",
"workspaces:ModifyWorkspaceProperties",
"workspaces:RebootWorkspaces",
"workspaces:RebuildWorkspaces",
"workspaces:RegisterWorkspaceDirectory",
"workspaces:RestoreWorkspace",
"workspaces:StartWorkspaces",
"workspaces:StartWorkspacesPool",
"workspaces:StopWorkspaces",
"workspaces:StopWorkspacesPool",
"workspaces:TerminateWorkspaces",
"workspaces:TerminateWorkspacesPool",
"workspaces:TerminateWorkspacesPoolSession",
"workspaces:UpdateWorkspacesPool"
],
"Resource": "*"
}
]
}
```
------
## AWS 托管策略: AmazonWorkspacesPCAAccess
此托管策略允许访问您 AWS 账户中的 Certifice Manager 私有证书颁发机构(私有 CA)资源,以进行基于证书的身份验证。 AWS 它包含在 AmazonWorkSpacesPCAAccess 角色中,并提供以下权限:
+ `acm-pca`-允许访问 AWS 私有 CA 以管理基于证书的身份验证。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"acm-pca:IssueCertificate",
"acm-pca:GetCertificate",
"acm-pca:DescribeCertificateAuthority"
],
"Resource": "arn:*:acm-pca:*:*:*",
"Condition": {
"StringLike": {
"aws:ResourceTag/euc-private-ca": "*"
}
}
}
]
}
```
------
## AWS 托管策略: AmazonWorkSpacesSelfServiceAccess
该政策允许用户访问 Amazon WorkSpaces 服务,以执行由用户发起的 WorkSpaces 自助操作。它包含在 `workspaces_DefaultRole` 角色中,它提供以下权限:
+ `workspaces`-允许用户访问自助 WorkSpaces 管理功能。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"workspaces:RebootWorkspaces",
"workspaces:RebuildWorkspaces",
"workspaces:ModifyWorkspaceProperties"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## AWS 托管策略: AmazonWorkSpacesServiceAccess
本政策允许客户账户访问亚马逊 WorkSpaces 服务,以启动 WorkSpace。它包含在 `workspaces_DefaultRole` 角色中,它提供以下权限:
+ `ec2`-允许访问管理与关联的 Amazon EC2 资源 WorkSpace,例如网络接口。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface",
"ec2:DescribeNetworkInterfaces"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## AWS 托管策略: AmazonWorkSpacesPoolServiceAccess
此策略用于 workspaces\$1DefaultRole,它 WorkSpaces 用于访问客户 AWS 账户中必需的 Pools 资源。 WorkSpaces 有关更多信息,请参阅 [创建工作空间\$1 角色 DefaultRole](workspaces-access-control.md#create-default-role)。它提供以下权限:
+ `ec2`-允许访问管理与 WorkSpaces 池关联的 Amazon EC2 资源 VPCs,例如子网、可用区、安全组和路由表。
+ `s3` - 允许访问权限以对日志、应用程序设置和主文件夹功能所需的 Amazon S3 存储桶执行操作。
------
#### [ Commercial AWS 区域 ]
以下政策 JSON 适用于广告 AWS 区域。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ProvisioningWorkSpacesPoolPermissions",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSecurityGroups",
"ec2:DescribeRouteTables",
"s3:ListAllMyBuckets"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "WorkSpacesPoolS3Permissions",
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:ListBucket",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetObjectVersion",
"s3:DeleteObjectVersion",
"s3:GetBucketPolicy",
"s3:PutBucketPolicy",
"s3:PutEncryptionConfiguration"
],
"Resource": [
"arn:aws:s3:::wspool-logs-*",
"arn:aws:s3:::wspool-app-settings-*",
"arn:aws:s3:::wspool-home-folder-*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
------
#### [ AWS GovCloud (US) Regions ]
以下策略 JSON 适用于商业 AWS GovCloud (US) Regions。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ProvisioningWorkSpacesPoolPermissions",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSecurityGroups",
"ec2:DescribeRouteTables",
"s3:ListAllMyBuckets"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "WorkSpacesPoolS3Permissions",
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:ListBucket",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetObjectVersion",
"s3:DeleteObjectVersion",
"s3:GetBucketPolicy",
"s3:PutBucketPolicy",
"s3:PutEncryptionConfiguration"
],
"Resource": [
"arn:aws-us-gov:s3:::wspool-logs-*",
"arn:aws-us-gov:s3:::wspool-app-settings-*",
"arn:aws-us-gov:s3:::wspool-home-folder-*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
------
## WorkSpaces AWS 托管策略的更新
查看 WorkSpaces 自该服务开始跟踪这些更改以来 AWS 托管策略更新的详细信息。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| [AWS 托管策略: AmazonWorkSpacesPoolServiceAccess](#workspaces-pools-service-access) - 添加了新策略 | WorkSpaces 添加了一个新的托管策略,用于授予查看 Amazon EC2 VPCs 和相关资源以及查看和管理 Amazon S3 存储 WorkSpaces 池存储桶的权限。 | 2024 年 6 月 24 日 |
| [AWS 托管策略: AmazonWorkSpacesAdmin](#workspaces-admin):更新策略 | WorkSpaces 在 Amazon WorkSpacesAdmin 托管策略中为 WorkSpaces 池添加了多项操作,授予管理员管理 WorkSpace 池资源的权限。 | 2024 年 6 月 24 日 |
| [AWS 托管策略: AmazonWorkSpacesAdmin](#workspaces-admin):更新策略 | WorkSpaces 将workspaces:RestoreWorkspace操作添加到 Amazon WorkSpacesAdmin 托管策略中,授予管理员恢复 WorkSpaces权限。 | 2023 年 6 月 25 日 |
| [AWS 托管策略: AmazonWorkspacesPCAAccess](#workspaces-pca-access) - 添加了新策略 | WorkSpaces 添加了一个新的托管策略,用于授予管理 AWS 私有 CA 以管理基于证书的身份验证的acm-pca权限。 | 2022 年 11 月 18 日 |
| WorkSpaces 已开始跟踪更改 | WorkSpaces 开始跟踪其 WorkSpaces 托管策略的更改。 | 2021 年 3 月 1 日 |