View a markdown version of this page

Amazon WorkSpaces 控制台操作权限参考 - Amazon WorkSpaces

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon WorkSpaces 控制台操作权限参考

有些 Amazon WorkSpaces API 只能通过 AWS 管理控制台调用。它们不是公共 API,无法以编程方式调用,也未由任何 SDK 提供。这些 API 操作包括:

  • 工作空间:DirectoryAccessManagement

  • 工作空间:CreateRootClientCertificate

  • 工作空间:UpdateRootClientCertificate

  • 工作空间:DeleteRootClientCertificate

  • 工作空间:DescribeConsent

  • 工作空间:UpdateConsent

  • 工作空间:InvokeTroubleshootingInvestigation

  • 工作空间:GetTroubleshootingRecommendation

  • 工作空间:ListTroubleshootingRecommendations

WorkSpaces 控制台操作和操作所需的权限

控制台使用其他 API 操作来实现其功能,因此 WorkSpaces 公共 API 的权限可能不足。例如,有权通过使用 CreateWorkspacesAPI 的用户在尝试在控制台 WorkSpace 上创建时 CLI/SDK 可能会遇到错误,因为他们缺少选择或创建用户的某些权限。下表列出了仅在 WorkSpaces 控制台上可用的功能以及允许用户使用控制台的这些特定部分所需的额外权限。

策略示例部分提供了执行个人、池和 BYOL WorkSpaces 所有 WorkSpaces 任务的权限列表。

或者,您也可以使用精细许可,应用最低权限许可来执行某项任务。

下表列出了依赖于 SDK 未提供的 API 的 WorkSpaces 控制台功能,以及使用户能够使用控制台的这些特定部分所需的权限。这些是除了 SDK 提供的 API 所需的其他操作外还应添加的权限。

WorkSpaces 控制台操作 所需的权限

WorkSpaces 个人快速设置

工作空间:DirectoryAccessManagement

ds:*

ec2: CreateVpc

ec2: CreateSubnet

ec2: CreateNetworkInterface

ec2: CreateInternetGateway

ec2: CreateRouteTable

ec2: CreateRoute

ec2: CreateTags

ec2: CreateSecurityGroup

ec2: DescribeInternetGateways

ec2: DescribeSecurityGroups

ec2: DescribeRouteTables

ec2: DescribeVpcs

ec2: DescribeSubnets

ec2: DescribeNetworkInterfaces

ec2: DescribeAvailabilityZones

ec2: AttachInternetGateway

ec2: AssociateRouteTable

ec2: AuthorizeSecurityGroupIngress

ec2: AuthorizeSecurityGroupEgress

我是:CreateRole

我是:GetRole

我是:PutRolePolicy

工作空间:DescribeAccount

工作空间:DescribeWorkspaceDirectories

工作空间:CreateWorkspaces

工作空间:DescribeWorkspaces

工作空间:RegisterWorkspaceDirectory

工作空间:DescribeWorkspaceBundles

工作空间:DescribeWorkspaces

限制 WorkSpaces 个人访问可信设备

工作空间:CreateRootClientCertificate

工作空间:UpdateRootClientCertificate

工作空间:DeleteRootClientCertificate

ds: DescribeDirectories

ec2: DescribeSubnets

ec2: DescribeSecurityGroups

工作空间:DescribeAccount

工作空间:DescribeWorkspaceDirectories

工作空间:DescribeTags

工作空间:DescribeClientProperties

工作空间:DescribeConnectClientAddins

工作空间:DirectoryAccessManagement

WorkSpace 在控制台上创建 WorkSpaces 个人版 — 给 create/search /des cribe Directory Service 目录用户

工作空间:DirectoryAccessManagement

工作空间:DescribeAccount

工作空间:CreateWorkspaces

工作空间:DescribeWorkspaces

工作空间:DescribeWorkspaceDirectories

工作空间:DescribeWorkspaceBundles

工作空间:DescribeTags

工作空间:CreateTags

工作空间:DescribeClientProperties

kms: ListKeys

kms: ListAliases

kms: DescribeKey

ds: DescribeTrusts

ds: DescribeDirectories

ec2: DescribeSubnets

ec2: DescribeSecurityGroups

在 “ WorkSpaces 个人” 中管理用户-编辑用户并向用户发送邀请电子邮件

工作空间:DirectoryAccessManagement

工作空间:DescribeAccount

工作空间:DescribeWorkspaceDirectories

工作空间:DescribeWorkspaces

工作空间:DescribeTags

工作空间:DescribeWorkspaceBundles

工作空间:DescribeWorkspacesConnectionStatus

工作空间:DescribeWorkspaceAssociations

工作空间:DescribeWorkspaceSnapshots

工作空间:DescribeWorkspaceImages

工作空间:DescribeConnectionAliases

更新 WorkSpaces 个人版 AD Connector 账户 (AD Connector)

工作空间:DirectoryAccessManagement

ds: DescribeDirectories

ds: UpdateDirectory

ec2: DescribeSubnets

ec2: DescribeSecurityGroups

工作空间:DescribeAccount

工作空间:DescribeWorkspaceDirectories

工作空间:DescribeTags

工作空间:DescribeClientProperties

工作空间:DescribeConnectClientAddins

为 “个人” 选择一个组织单位 WorkSpaces

工作空间:DirectoryAccessManagement

ds: DescribeDirectories

ec2: DescribeSubnets

ec2: DescribeSecurityGroups

工作空间:DescribeAccount

工作空间:DescribeWorkspaceDirectories

工作空间:DescribeTags

工作空间:DescribeClientProperties

工作空间:DescribeConnectClientAddins

工作空间:ModifyWorkspaceCreationProperties

启用 BYOL 账户 — 确认了解使用 BYOL 的要求 WorkSpaces

工作空间:DescribeConsent

工作空间:UpdateConsent

工作空间:DescribeAccount

工作空间:ListAccountLinks

工作空间:DescribeWorkspaceBundles

工作空间:DescribeWorkspaceImages

工作空间:DescribeWorkspaceDirectories

亚马逊 WorkSpaces Advisor

工作空间:InvokeTroubleshootingInvestigation

工作空间:GetTroubleshootingRecommendation

工作空间:ListTroubleshootingRecommendations