本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 搭配 WorkSpaces 應用程式串流執行個體使用 IAM 角色的最佳實務 當您搭配 WorkSpaces 應用程式串流執行個體使用 IAM 角色時,建議您遵循下列實務: + 限制您授予 AWS API 動作和資源的許可。 當您建立 IAM 政策並將其連接至與 WorkSpaces 應用程式串流執行個體相關聯的 IAM 角色時,請遵循最低權限原則。當您使用需要存取 AWS API 動作或資源的應用程式或指令碼時,請判斷所需的特定動作和資源。然後,建立允許應用程式或指令碼僅執行那些動作的政策。如需詳細資訊,請參閱*《IAM 使用者指南》*中的[授予最低權限](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)。 + 為每個 WorkSpaces 應用程式資源建立 IAM 角色。 為每個 WorkSpaces 應用程式資源建立唯一的 IAM 角色是遵循最低權限原則的做法。這樣做也可讓您修改資源的許可,而不會影響其他資源。 + 限制可使用登入資料的位置。 IAM 政策可讓您定義可使用 IAM 角色來存取資源的條件。例如,您可以包含條件,以指定請求可能來自的 IP 地址範圍。這樣做可防止登入資料在您的環境外遭到使用。如需詳細資訊,請參閱《IAM 使用者指南》**中的[使用政策條件提供額外的安全性](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#use-policy-conditions)。