搭配 WorkSpaces 應用程式串流執行個體使用 IAM 角色的最佳實務

限制您授予 AWS API 動作和資源的許可。

當您建立 IAM 政策並將其連接至與 WorkSpaces 應用程式串流執行個體相關聯的 IAM 角色時，請遵循最低權限原則。當您使用需要存取 AWS API 動作或資源的應用程式或指令碼時，請判斷所需的特定動作和資源。然後，建立允許應用程式或指令碼僅執行那些動作的政策。如需詳細資訊，請參閱《IAM 使用者指南》中的授予最低權限。

為每個 WorkSpaces 應用程式資源建立 IAM 角色。

為每個 WorkSpaces 應用程式資源建立唯一的 IAM 角色是遵循最低權限原則的做法。這樣做也可讓您修改資源的許可，而不會影響其他資源。

限制可使用登入資料的位置。

IAM 政策可讓您定義可使用 IAM 角色來存取資源的條件。例如，您可以包含條件，以指定請求可能來自的 IP 地址範圍。這樣做可防止登入資料在您的環境外遭到使用。如需詳細資訊，請參閱《IAM 使用者指南》中的使用政策條件提供額外的安全性。