本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 的身份和访问管理 WorkSpaces
默认情况下,IAM 用户没有 WorkSpaces 资源和操作权限。要允许 IAM 用户管理 WorkSpaces 资源,您必须创建明确授予他们权限的 IAM 策略,并将该策略附加到需要这些权限的 IAM 用户或群组。
**注意**
Amazon WorkSpaces 不支持将 IAM 凭证配置到 WorkSpace (例如使用实例配置文件)。
要提供访问权限,请为您的用户、组或角色添加权限:
+ 中的用户和群组 AWS IAM Identity Center:
创建权限集合。按照《AWS IAM Identity Center 用户指南》**中[创建权限集](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)的说明进行操作。
+ 通过身份提供商在 IAM 中托管的用户:
创建适用于身份联合验证的角色。按照《IAM 用户指南》**中[针对第三方身份提供商创建角色(联合身份验证)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)的说明进行操作。
+ IAM 用户:
+ 创建您的用户可以担任的角色。按照《IAM 用户指南》**中[为 IAM 用户创建角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)的说明进行操作。
+ (不推荐使用)将策略直接附加到用户或将用户添加到用户组。按照《IAM 用户指南》**中[向用户添加权限(控制台)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)中的说明进行操作。
以下是 IAM 的其他资源:
+ 有关 IAM 策略的更多信息,请参阅《IAM 用户指南》**中的[策略和权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
+ 有关 IAM 的更多信息,请参阅[身份和访问管理 (IAM)](https://aws.amazon.com/iam) 和 [https://docs.aws.amazon.com/IAM/latest/UserGuide/](https://docs.aws.amazon.com/IAM/latest/UserGuide/)。
+ 有关在 IAM 权限策略中使用的 WorkSpaces特定资源、操作和条件上下文密钥的更多信息,请参阅 IA *M 用户指南 WorkSpaces*中的 A [mazon 操作、资源和条件密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonworkspaces.html)。
+ 有关可帮助您创建 IAM 策略的工具,请参阅 [AWS 策略生成器](https://aws.amazon.com/blogs/aws/aws-policy-generator/)。您还可以使用 [IAM Policy Simulator](https://docs.aws.amazon.com/IAM/latest/UsingPolicySimulatorGuide/) 来测试策略是允许还是拒绝对 AWS的特定请求。
**Topics**
+ [策略示例](#workspaces-example-iam-policies)
+ [在 IAM 策略中指定 WorkSpaces 资源](#wsp_iam_resource)
+ [创建工作空间\$1 角色 DefaultRole](#create-default-role)
+ [创建 AmazonWorkSpacesPCAAccess 服务角色](#create-pca-access-role)
+ [AWS 的托管策略 WorkSpaces](managed-policies.md)
+ [对流媒体实例的访问权限 WorkSpaces 和脚本](using-iam-roles-to-grant-permissions-to-applications-scripts-streaming-instances.md)
+ [Amazon WorkSpaces 控制台操作权限参考](wsp-console-permissions-ref.md)
## 策略示例
以下示例显示了政策声明,您可以使用这些声明来控制 IAM 用户对 Amazon 的权限 WorkSpaces。
### 示例 1:授予执行 WorkSpaces 个人和池任务的访问权限
以下政策声明授予 IAM 用户执行 WorkSpaces个人和池任务的权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:*",
"workspaces:*",
"application-autoscaling:DeleteScalingPolicy",
"application-autoscaling:DeleteScheduledAction",
"application-autoscaling:DeregisterScalableTarget",
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"application-autoscaling:PutScalingPolicy",
"application-autoscaling:PutScheduledAction",
"application-autoscaling:RegisterScalableTarget",
"cloudwatch:DeleteAlarms",
"cloudwatch:DescribeAlarms",
"cloudwatch:PutMetricAlarm",
"ec2:AssociateRouteTable",
"ec2:AttachInternetGateway",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateInternetGateway",
"ec2:CreateNetworkInterface",
"ec2:CreateRoute",
"ec2:CreateRouteTable",
"ec2:CreateSecurityGroup",
"ec2:CreateSubnet",
"ec2:CreateTags",
"ec2:CreateVpc",
"ec2:DeleteNetworkInterface",
"ec2:DeleteSecurityGroup",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeInternetGateways",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"iam:AttachRolePolicy",
"iam:CreatePolicy",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:PutRolePolicy",
"kms:ListAliases",
"kms:ListKeys",
"secretsmanager:ListSecrets",
"tag:GetResources",
"sso-directory:SearchUsers",
"sso:CreateApplication",
"sso:DeleteApplication",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:GetApplicationGrant",
"sso:ListInstances",
"sso:PutApplicationAssignmentConfiguration",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "workspaces.amazonaws.com"
}
}
}
]
}
```
------
### 示例 2:授予执行 WorkSpaces 个人任务的权限
以下政策声明授予 IAM 用户执行所有 WorkSpaces 个人任务的权限。
尽管在使用 API `Action` 和命令行工具时,Amazon WorkSpaces 完全支持和`Resource`元素,但要 WorkSpaces 从中使用 Amazon AWS 管理控制台,IAM 用户必须拥有以下操作和资源的权限:
+ 行动:`"ds:*"`
+ 资源:`"Resource": "*"`
以下示例策略说明如何允许 IAM 用户使用 WorkSpaces 来自的 Amazon AWS 管理控制台。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"workspaces:*",
"ds:*",
"iam:GetRole",
"iam:CreateRole",
"iam:PutRolePolicy",
"iam:CreatePolicy",
"iam:AttachRolePolicy",
"iam:ListRoles",
"kms:ListAliases",
"kms:ListKeys",
"ec2:CreateVpc",
"ec2:CreateSubnet",
"ec2:CreateNetworkInterface",
"ec2:CreateInternetGateway",
"ec2:CreateRouteTable",
"ec2:CreateRoute",
"ec2:CreateTags",
"ec2:CreateSecurityGroup",
"ec2:DescribeInternetGateways",
"ec2:DescribeSecurityGroups",
"ec2:DescribeRouteTables",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeAvailabilityZones",
"ec2:AttachInternetGateway",
"ec2:AssociateRouteTable",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:DeleteSecurityGroup",
"ec2:DeleteNetworkInterface",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"secretsmanager:ListSecrets",
"sso-directory:SearchUsers",
"sso:CreateApplication",
"sso:DeleteApplication",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:GetApplicationGrant",
"sso:ListInstances",
"sso:PutApplicationAssignmentConfiguration",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "workspaces.amazonaws.com"
}
}
}
]
}
```
------
### 示例 3:授予执行资源 WorkSpaces 池任务的权限
以下政策声明授予 IAM 用户执行所有 P WorkSpaces ools 任务的权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"workspaces:*",
"application-autoscaling:DeleteScalingPolicy",
"application-autoscaling:DeleteScheduledAction",
"application-autoscaling:DeregisterScalableTarget",
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"application-autoscaling:PutScalingPolicy",
"application-autoscaling:PutScheduledAction",
"application-autoscaling:RegisterScalableTarget",
"cloudwatch:DeleteAlarms",
"cloudwatch:DescribeAlarms",
"cloudwatch:PutMetricAlarm",
"ec2:CreateSecurityGroup",
"ec2:CreateTags",
"ec2:DescribeInternetGateways",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"iam:AttachRolePolicy",
"iam:CreatePolicy",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:PutRolePolicy",
"secretsmanager:ListSecrets",
"tag:GetResources"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "workspaces.amazonaws.com"
}
}
},
{
"Action": "iam:CreateServiceLinkedRole",
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/aws-service-role/workspaces.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_WorkSpacesPool",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "workspaces.application-autoscaling.amazonaws.com"
}
}
}
]
}
```
------
### 示例 4:为 BYO WorkSpaces L 执行所有任务 WorkSpaces
以下政策声明授予 IAM 用户执行所有 WorkSpaces任务的权限,包括创建自带许可证 (BYOL) WorkSpaces 所需的 Amazon EC2 任务。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:*",
"workspaces:*",
"ec2:AssociateRouteTable",
"ec2:AttachInternetGateway",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateInternetGateway",
"ec2:CreateNetworkInterface",
"ec2:CreateRoute",
"ec2:CreateRouteTable",
"ec2:CreateSecurityGroup",
"ec2:CreateSubnet",
"ec2:CreateTags",
"ec2:CreateVpc",
"ec2:DeleteNetworkInterface",
"ec2:DeleteSecurityGroup",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeImages",
"ec2:DescribeInternetGateways",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:ModifyImageAttribute",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"iam:CreateRole",
"iam:GetRole",
"iam:PutRolePolicy",
"kms:ListAliases",
"kms:ListKeys"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "workspaces.amazonaws.com"
}
}
}
]
}
```
------
## 在 IAM 策略中指定 WorkSpaces 资源
要在政策声明的`Resource`元素中指定 WorkSpaces 资源,请使用该资源的 Amazon 资源名称 (ARN)。您可以通过允许或拒绝使用您的 IAM 策略声明`Action`元素中指定的 API 操作来控制对 WorkSpaces 资源的访问权限。 WorkSpaces 定义 ARNs 分发包 WorkSpaces、IP 组和目录。
### WorkSpace ARN
WorkSpace ARN 的语法如下例所示。
```
arn:aws:workspaces:region:account_id:workspace/workspace_identifier
```
*region*
所在 WorkSpace 的区域(例如,`us-east-1`)。
*account\$1id*
AWS 账户的 ID,不带连字符(例如,`123456789012`)。
*workspace\$1identifier*
的 ID WorkSpace (例如,`ws-a1bcd2efg`)。
以下是标识特定`Resource`内容的策略声明元素的格式 WorkSpace。
```
"Resource": "arn:aws:workspaces:region:account_id:workspace/workspace_identifier"
```
您可以使用`*`通配符指定 WorkSpaces 属于特定区域中特定账户的所有账户。
### WorkSpace 池 ARN
WorkSpace 池 ARN 的语法如下例所示。
```
arn:aws:workspaces:region:account_id:workspacespool/workspacespool_identifier
```
*region*
所在 WorkSpace 的区域(例如,`us-east-1`)。
*account\$1id*
AWS 账户的 ID,不带连字符(例如,`123456789012`)。
*workspacespool\$1identifier*
WorkSpace 池的 ID(例如,`ws-a1bcd2efg`)。
以下是标识特定`Resource`内容的策略声明元素的格式 WorkSpace。
```
"Resource": "arn:aws:workspaces:region:account_id:workspacespool/workspacespool_identifier"
```
您可以使用`*`通配符指定 WorkSpaces 属于特定区域中特定账户的所有账户。
### ARN 证书
WorkSpace 证书 ARN 的语法如下例所示。
```
arn:aws:workspaces:region:account_id:workspacecertificate/workspacecertificateidentifier
```
*region*
所在 WorkSpace 的区域(例如,`us-east-1`)。
*account\$1id*
AWS 账户的 ID,不带连字符(例如,`123456789012`)。
*workspacecertificate\$1identifier*
WorkSpace 证书的 ID(例如,`ws-a1bcd2efg`)。
以下是标识特定 WorkSpace 证书的策略声明`Resource`元素的格式。
```
"Resource": "arn:aws:workspaces:region:account_id:workspacecertificate/workspacecertificate_identifier"
```
您可以使用`*`通配符指定 WorkSpaces 属于特定区域中特定账户的所有账户。
### 映像 ARN
WorkSpace 图片 ARN 的语法如下例所示。
```
arn:aws:workspaces:region:account_id:workspaceimage/image_identifier
```
*region*
WorkSpace 图像所在的区域(例如,`us-east-1`)。
*account\$1id*
AWS 账户的 ID,不带连字符(例如,`123456789012`)。
*bundle\$1identifier*
WorkSpace 图像的 ID(例如,`wsi-a1bcd2efg`)。
以下是用于标识某个特定映像的策略语句的 `Resource` 元素的格式。
```
"Resource": "arn:aws:workspaces:region:account_id:workspaceimage/image_identifier"
```
您可以使用 `*` 通配符来指定属于特定区域中特定账户的所有映像。
### 服务包 ARN
服务包 ARN 具有以下示例中显示的语法。
```
arn:aws:workspaces:region:account_id:workspacebundle/bundle_identifier
```
*region*
所在 WorkSpace 的区域(例如,`us-east-1`)。
*account\$1id*
AWS 账户的 ID,不带连字符(例如,`123456789012`)。
*bundle\$1identifier*
WorkSpace 捆绑包的 ID(例如,`wsb-a1bcd2efg`)。
以下是用于标识某个特定服务包的策略语句的 `Resource` 元素的格式。
```
"Resource": "arn:aws:workspaces:region:account_id:workspacebundle/bundle_identifier"
```
您可以使用 `*` 通配符来指定属于特定区域中特定账户的所有捆绑包。
### IP 组 ARN
IP 组 ARN 具有以下示例中显示的语法。
```
arn:aws:workspaces:region:account_id:workspaceipgroup/ipgroup_identifier
```
*region*
所在 WorkSpace 的区域(例如,`us-east-1`)。
*account\$1id*
AWS 账户的 ID,不带连字符(例如,`123456789012`)。
*ipgroup\$1identifier*
IP 组的 ID(例如 `wsipg-a1bcd2efg`)。
以下是用于标识某个特定 IP 组的策略语句的 `Resource` 元素的格式。
```
"Resource": "arn:aws:workspaces:region:account_id:workspaceipgroup/ipgroup_identifier"
```
您可以使用 `*` 通配符来指定属于特定区域中特定账户的所有 IP 组。
### 目录 ARN
目录 ARN 具有以下示例中显示的语法。
```
arn:aws:workspaces:region:account_id:directory/directory_identifier
```
*region*
所在 WorkSpace 的区域(例如,`us-east-1`)。
*account\$1id*
AWS 账户的 ID,不带连字符(例如,`123456789012`)。
*directory\$1identifier*
目录的 ID(例如 `d-12345a67b8`)。
以下是用于标识某个特定目录的策略语句的 `Resource` 元素的格式。
```
"Resource": "arn:aws:workspaces:region:account_id:directory/directory_identifier"
```
您可以使用 `*` 通配符来指定属于特定区域中特定账户的所有目录。
### 连接别名 ARN
连接别名 ARN 具有以下示例中显示的语法。
```
arn:aws:workspaces:region:account_id:connectionalias/connectionalias_identifier
```
*region*
连接别名所在的区域(例如,`us-east-1`)。
*account\$1id*
AWS 账户的 ID,不带连字符(例如,`123456789012`)。
*connectionalias\$1identifier*
连接别名的 ID(例如,`wsca-12345a67b8`)。
以下是用于标识某个特定连接别名的策略语句的 `Resource` 元素的格式。
```
"Resource": "arn:aws:workspaces:region:account_id:connectionalias/connectionalias_identifier"
```
您可以使用 `*` 通配符来指定属于特定区域中特定账户的所有连接别名。
### 不支持资源级权限的 API 操作
您不能使用以下 API 操作指定资源 ARN:
+ `AssociateIpGroups`
+ `CreateIpGroup`
+ `CreateTags`
+ `DeleteTags`
+ `DeleteWorkspaceImage`
+ `DescribeAccount`
+ `DescribeAccountModifications`
+ `DescribeIpGroups`
+ `DescribeTags`
+ `DescribeWorkspaceDirectories`
+ `DescribeWorkspaceImages`
+ `DescribeWorkspaces`
+ `DescribeWorkspacesConnectionStatus`
+ `DisassociateIpGroups`
+ `ImportWorkspaceImage`
+ `ListAvailableManagementCidrRanges`
+ `ModifyAccount`
对于不支持资源级权限的 API 操作,必须指定以下示例中显示的资源语句。
```
"Resource": "*"
```
### 不支持对共享资源进行账号级限制的 API 操作
对于以下 API 操作,当资源不归账户所有时,您无法在资源 ARN 中指定账户 ID:
+ `AssociateConnectionAlias`
+ `CopyWorkspaceImage`
+ `DisassociateConnectionAlias`
对于这些 API 操作,只有当该账户拥有要处理的资源时,您才能在资源 ARN 中指定账户 ID。当账户不拥有资源时,您必须为账户 ID 指定 `*`,如以下示例中所示。
```
"arn:aws:workspaces:region:*:resource_type/resource_identifier"
```
## 创建工作空间\$1 角色 DefaultRole
在使用 API 注册目录之前,必须验证名为 `workspaces_DefaultRole` 的角色是否存在。此角色由快速设置创建,或者您 WorkSpace 使用启动时创建 AWS 管理控制台,它会向 Amazon 授予代表您访问特定 AWS 资源的 WorkSpaces 权限。如果此角色不存在,您可以使用以下程序创建它。
**创建 workspaces\$1 角色 DefaultRole**
1. 登录 AWS 管理控制台 并打开 IAM 控制台,网址为[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在左侧的导航窗格中,选择**角色**。
1. 选择**创建角色**。
1. 在**选择受信任实体的类型**下,选择**其他 AWS 账户**。
1. 对于**账户 ID**,请输入没有连字符或空格的账户 ID。
1. 对于**选项**,请勿指定多重验证 (MFA)。
1. 选择**下一步: 权限**。
1. 在**附加权限策略**页面上,选择 AWS 托管策略**AmazonWorkSpacesServiceAccess**AmazonWorkSpacesSelfServiceAccess****、和**AmazonWorkSpacesPoolServiceAccess**。有关这些托管策略的更多信息,请参阅[AWS 的托管策略 WorkSpaces](managed-policies.md)。
1. 在**设置权限边界**下,建议您不要使用权限边界,因为可能会与附加到此角色的策略发生冲突。此类冲突可能会阻止角色的某些必要权限。
1. 选择**下一步:标签**。
1. 在 **Add tags (optional) (添加标签(可选))** 页面上,根据需要添加标签。
1. 选择**下一步:审核**。
1. 在**审核**页面上,对于**角色名称**,输入 **workspaces\$1DefaultRole**。
1. (可选)对于**角色描述**,请输入描述。
1. 选择**创建角色**。
1. 在 workspaces\$1 DefaultRole 角色的 “**摘要**” 页面上,选择 “**信任**关系” 选项卡。
1. 在**信任关系**选项卡上,选择**编辑信任关系**。
1. 在**编辑信任关系**页面上,将现有策略语句替换为以下语句。
```
{
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "workspaces.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
1. 选择**更新信任策略**。
## 创建 AmazonWorkSpacesPCAAccess 服务角色
在用户使用基于证书的身份验证方式登录之前,您必须先验证名为 `AmazonWorkSpacesPCAAccess` 的角色是否存在。此角色是在您使用对目录启用基于证书的身份验证时创建的 AWS 管理控制台,它授予 Amazon 代表您访问 AWS 私有 CA 资源的 WorkSpaces权限。如果由于您未使用控制台管理基于证书的身份验证而导致此角色不存在,则您可以使用以下步骤创建此角色。
**要创建 AmazonWorkSpacesPCAAccess 服务角色,请使用 AWS CLI**
1. 使用以下文本创建名为 `AmazonWorkSpacesPCAAccess.json` 的 JSON 文件。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "prod.euc.ecm.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. 根据需要调整`AmazonWorkSpacesPCAAccess.json`路径并运行以下 AWS CLI 命令来创建服务角色并附加[AmazonWorkspacesPCAAccess](managed-policies.md#workspaces-pca-access)托管策略。
```
aws iam create-role --path /service-role/ --role-name AmazonWorkSpacesPCAAccess --assume-role-policy-document file://AmazonWorkSpacesPCAAccess.json
```
```
aws iam attach-role-policy —role-name AmazonWorkSpacesPCAAccess —policy-arn arn:aws:iam::aws:policy/AmazonWorkspacesPCAAccess
```