本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Amazon WorkSpaces 控制台操作权限参考
<a name="wsp-console-permissions-ref"></a>

有些 Amazon WorkSpaces APIs 只能通过 AWS 管理控制台进行调用。它们不是公开的 APIs，从某种意义上说，它们不能以编程方式调用，也不是由任何 SDK 提供的。这些 API 操作包括：
+ 工作空间：DirectoryAccessManagement
+ 工作空间：CreateRootClientCertificate
+ 工作空间：UpdateRootClientCertificate
+ 工作空间：DeleteRootClientCertificate
+ 工作空间：DescribeConsent
+ 工作空间：UpdateConsent
+ 工作空间：InvokeTroubleshootingInvestigation
+ 工作空间：GetTroubleshootingRecommendation
+ 工作空间：ListTroubleshootingRecommendations

## WorkSpaces 控制台操作和操作所需的权限
<a name="wsp-console-operations"></a>

控制台使用其他 API 操作来实现其功能，因此 WorkSpaces 公众的权限 APIs 可能不够。例如，有权通过使用 [CreateWorkspaces](https://docs.aws.amazon.com/workspaces/latest/api/API_CreateWorkspaces.html)API 的用户在尝试在控制台 WorkSpace 上创建时 CLI/SDK 可能会遇到错误，因为他们缺少选择或创建用户的某些权限。下表列出了仅在 WorkSpaces 控制台上可用的功能以及允许用户使用控制台的这些特定部分所需的额外权限。

[策略示例](https://docs.aws.amazon.com/workspaces/latest/adminguide/workspaces-access-control.html#workspaces-example-iam-policies)部分提供了执行个人、池和 BYOL WorkSpaces 所有 WorkSpaces 任务的权限列表。

或者，您也可以使用精细许可，应用最低权限许可来执行某项任务。

下表列出了依赖于 SDK APIs 未提供的 WorkSpaces 控制台功能，以及使用户能够使用控制台的这些特定部分所需的权限。除了 SDK APIs 提供的其他所需操作外，还应添加这些权限。


| WorkSpaces 控制台操作 | 所需的权限 | 
| --- | --- | 
| [WorkSpaces 个人快速设置](https://docs.aws.amazon.com/workspaces/latest/adminguide/managing-wsp-personal.html#getting-started) | 工作空间：DirectoryAccessManagement<br />ds:\*<br />ec2: CreateVpc<br />ec2: CreateSubnet<br />ec2: CreateNetworkInterface<br />ec2: CreateInternetGateway<br />ec2: CreateRouteTable<br />ec2: CreateRoute<br />ec2: CreateTags<br />ec2: CreateSecurityGroup<br />ec2: DescribeInternetGateways<br />ec2: DescribeSecurityGroups<br />ec2: DescribeRouteTables<br />ec2: DescribeVpcs<br />ec2: DescribeSubnets<br />ec2: DescribeNetworkInterfaces<br />ec2: DescribeAvailabilityZones<br />ec2: AttachInternetGateway<br />ec2: AssociateRouteTable<br />ec2: AuthorizeSecurityGroupIngress<br />ec2: AuthorizeSecurityGroupEgress<br />我是：CreateRole<br />我是：GetRole<br />我是：PutRolePolicy<br />工作空间：DescribeAccount<br />工作空间：DescribeWorkspaceDirectories<br />工作空间：CreateWorkspaces<br />工作空间：DescribeWorkspaces<br />工作空间：RegisterWorkspaceDirectory<br />工作空间：DescribeWorkspaceBundles<br />工作空间：DescribeWorkspaces | 
| [限制 WorkSpaces 个人用户访问可信设备](https://docs.aws.amazon.com/workspaces/latest/adminguide/trusted-devices.html#configure-restriction) | 工作空间：CreateRootClientCertificate<br />工作空间：UpdateRootClientCertificate<br />工作空间：DeleteRootClientCertificate<br />ds: DescribeDirectories<br />ec2: DescribeSubnets<br />ec2: DescribeSecurityGroups<br />工作空间：DescribeAccount<br />工作空间：DescribeWorkspaceDirectories<br />工作空间：DescribeTags<br />工作空间：DescribeClientProperties<br />工作空间：DescribeConnectClientAddins<br />工作空间：DirectoryAccessManagement | 
| [ WorkSpace 在控制台上创建 WorkSpaces 个人版](https://docs.aws.amazon.com/workspaces/latest/adminguide/create-workspaces-personal.html) ——致 create/search/describe Directory Service目录用户 | 工作空间：DirectoryAccessManagement<br />工作空间：DescribeAccount<br />工作空间：CreateWorkspaces<br />工作空间：DescribeWorkspaces<br />工作空间：DescribeWorkspaceDirectories<br />工作空间：DescribeWorkspaceBundles<br />工作空间：DescribeTags<br />工作空间：CreateTags<br />工作空间：DescribeClientProperties<br />kms: ListKeys<br />kms: ListAliases<br />kms: DescribeKey<br />ds: DescribeTrusts<br />ds: DescribeDirectories<br />ec2: DescribeSubnets<br />ec2: DescribeSecurityGroups | 
| 在 “[ WorkSpaces 个人” 中管理用户](https://docs.aws.amazon.com/workspaces/latest/adminguide/manage-workspaces-users.html)-编辑用户并向用户发送邀请电子邮件 | 工作空间：DirectoryAccessManagement<br />工作空间：DescribeAccount<br />工作空间：DescribeWorkspaceDirectories<br />工作空间：DescribeWorkspaces<br />工作空间：DescribeTags<br />工作空间：DescribeWorkspaceBundles<br />工作空间：DescribeWorkspacesConnectionStatus<br />工作空间：DescribeWorkspaceAssociations<br />工作空间：DescribeWorkspaceSnapshots<br />工作空间：DescribeWorkspaceImages<br />工作空间：DescribeConnectionAliases | 
| [更新 WorkSpaces 个人版 AD Connector 账户 (AD Connector)](https://docs.aws.amazon.com/workspaces/latest/adminguide/connect-account.html) | 工作空间：DirectoryAccessManagement<br />ds: DescribeDirectories<br />ds: UpdateDirectory<br />ec2: DescribeSubnets<br />ec2: DescribeSecurityGroups<br />工作空间：DescribeAccount<br />工作空间：DescribeWorkspaceDirectories<br />工作空间：DescribeTags<br />工作空间：DescribeClientProperties<br />工作空间：DescribeConnectClientAddins | 
| [为 “个人” 选择一个组织单位 WorkSpaces ](https://docs.aws.amazon.com/workspaces/latest/adminguide/select-ou.html) | 工作空间：DirectoryAccessManagement<br />ds: DescribeDirectories<br />ec2: DescribeSubnets<br />ec2: DescribeSecurityGroups<br />工作空间：DescribeAccount<br />工作空间：DescribeWorkspaceDirectories<br />工作空间：DescribeTags<br />工作空间：DescribeClientProperties<br />工作空间：DescribeConnectClientAddins<br />工作空间：ModifyWorkspaceCreationProperties | 
| [启用 BYOL 账户](https://docs.aws.amazon.com/workspaces/latest/adminguide/byol-windows-images.html) — 确认了解使用 BYOL 的要求 WorkSpaces | 工作空间：DescribeConsent<br />工作空间：UpdateConsent<br />工作空间：DescribeAccount<br />工作空间：ListAccountLinks<br />工作空间：DescribeWorkspaceBundles<br />工作空间：DescribeWorkspaceImages<br />工作空间：DescribeWorkspaceDirectories | 
| [亚马逊 WorkSpaces Advisor](https://docs.aws.amazon.com/workspaces/latest/adminguide/workspaces-advisor.html) | 工作空间：InvokeTroubleshootingInvestigation<br />工作空间：GetTroubleshootingRecommendation<br />工作空间：ListTroubleshootingRecommendations |