本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS WorkSpaces 安全瀏覽器的 受管政策
若要新增許可給使用者、群組和角色,使用 AWS 受管政策比自行撰寫政策更容易。建立 [IAM 客戶受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)需要時間和專業知識,而受管政策可為您的團隊提供其所需的許可。若要快速開始使用,您可以使用我們的 AWS 受管政策。這些政策涵蓋常見的使用案例,並且可在您的帳戶中使用 AWS 。如需 AWS 受管政策的詳細資訊,請參閱《*IAM 使用者指南*》中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
AWS 服務會維護和更新 AWS 受管政策。您無法變更 AWS 受管政策中的許可。服務可能會偶爾將其他許可新增至 AWS 受管政策,以支援新功能。此類型的更新會影響已連接政策的所有身分識別 (使用者、群組和角色)。當新功能啟動或新操作可用時,服務很可能會更新 AWS 受管政策。服務不會從 AWS 受管政策中移除許可,因此政策更新不會破壞您現有的許可。
此外, AWS 支援跨多個 服務之任務函數的受管政策。例如, `ReadOnlyAccess` AWS 受管政策提供所有 AWS 服務和資源的唯讀存取權。當服務啟動新功能時, 會為新操作和資源 AWS 新增唯讀許可。如需任務職能政策的清單和說明,請參閱 *IAM 使用者指南*中[有關任務職能的AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
**Topics**
+ [AWS 受管政策:AmazonWorkSpacesWebServiceRolePolicy](security-iam-awsmanpol-AmazonWorkSpacesWebServiceRolePolicy.md)
+ [AWS 受管政策:AmazonWorkSpacesSecureBrowserReadOnly](security-iam-awsmanpol-AmazonWorkSpacesSecureBrowserReadOnly.md)
+ [AWS 受管政策:AmazonWorkSpacesWebReadOnly](security-iam-awsmanpol-AmazonWorkSpacesWebReadOnly.md)
+ [AWS 受管政策的 WorkSpaces 安全瀏覽器更新](security-iam-awsmanpol-updates.md)
# AWS 受管政策:AmazonWorkSpacesWebServiceRolePolicy
您無法將 `AmazonWorkSpacesWebServiceRolePolicy` 政策附加至 IAM 實體。此政策會連接到服務連結角色,允許 WorkSpaces 安全瀏覽器代表您執行動作。如需詳細資訊,請參閱[使用 Amazon WorkSpaces 安全瀏覽器的服務連結角色](using-service-linked-roles.md)。
此政策授予管理許可,允許存取 WorkSpaces 安全瀏覽器使用或管理 AWS 的服務和資源。
**許可詳細資訊**
此政策包含以下許可:
+ `workspaces-web` – 允許存取 WorkSpaces 安全瀏覽器使用或管理 AWS 的服務和資源。
+ `ec2` – 允許主體描述 VPC、子網路和可用區域;建立、標記、描述和刪除網路介面;關聯或取消關聯地址;以及描述路由表、安全群組和 VPC 端點。
+ `CloudWatch` – 允許主體放置指標資料。
+ `Kinesis` - 允許主體描述 Kinesis 資料串流的摘要,並將紀錄放入 Kinesis 資料串流中以供使用者存取日誌記錄。如需詳細資訊,請參閱[在 Amazon WorkSpaces 安全瀏覽器中設定使用者活動記錄](user-logging.md)。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeNetworkInterfaces",
"ec2:AssociateAddress",
"ec2:DisassociateAddress",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeVpcEndpoints"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws:ec2:*:*:subnet/*",
"arn:aws:ec2:*:*:security-group/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": "arn:aws:ec2:*:*:network-interface/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/WorkSpacesWebManaged": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:*:*:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateNetworkInterface"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"WorkSpacesWebManaged"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DeleteNetworkInterface"
],
"Resource": "arn:aws:ec2:*:*:network-interface/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/WorkSpacesWebManaged": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": [
"AWS/WorkSpacesWeb",
"AWS/Usage"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kinesis:PutRecord",
"kinesis:PutRecords",
"kinesis:DescribeStreamSummary"
],
"Resource": "arn:aws:kinesis:*:*:stream/amazon-workspaces-web-*"
}
]
}
```
# AWS 受管政策:AmazonWorkSpacesSecureBrowserReadOnly
您可將 `AmazonWorkSpacesSecureBrowserReadOnly` 政策連接到 IAM 身分。
此政策授予唯讀許可,允許透過 AWS 管理主控台、 SDK 和 CLI 存取 WorkSpaces 安全瀏覽器及其相依性。此政策不包括使用 `IAM_Identity_Center` 當成驗證類型與入口網站進行互動所需的許可。若要取得這些許可,請將此政策加上 `AWSSSOReadOnly`。
**許可詳細資訊**
此政策包含以下許可。
+ `workspaces-web` – 透過 AWS 管理主控台、 SDK 和 CLI 提供 WorkSpaces 安全瀏覽器及其相依性的唯讀存取權。
+ `ec2`:允許主體描述 VPC、子網路與安全群組。這在 WorkSpaces 安全瀏覽器的 AWS 管理主控台中使用,以顯示可供與服務搭配使用VPCs、子網路和安全群組。
+ `Kinesis` – 允許主體取得 Kinesis 資料串流的清單。這是在 WorkSpaces 安全瀏覽器的 AWS 管理主控台中用來顯示可用於 服務的 Kinesis 資料串流。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"workspaces-web:GetBrowserSettings",
"workspaces-web:GetIdentityProvider",
"workspaces-web:GetNetworkSettings",
"workspaces-web:GetPortal",
"workspaces-web:GetPortalServiceProviderMetadata",
"workspaces-web:GetTrustStore",
"workspaces-web:GetTrustStoreCertificate",
"workspaces-web:GetUserSettings",
"workspaces-web:GetUserAccessLoggingSettings",
"workspaces-web:ListBrowserSettings",
"workspaces-web:ListIdentityProviders",
"workspaces-web:ListNetworkSettings",
"workspaces-web:ListPortals",
"workspaces-web:ListTagsForResource",
"workspaces-web:ListTrustStoreCertificates",
"workspaces-web:ListTrustStores",
"workspaces-web:ListUserSettings",
"workspaces-web:ListUserAccessLoggingSettings"
],
"Resource": "arn:aws:workspaces-web:*:*:*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"kinesis:ListStreams"
],
"Resource": "*"
}
]
}
```
# AWS 受管政策:AmazonWorkSpacesWebReadOnly
您可將 `AmazonWorkSpacesWebReadOnly` 政策連接到 IAM 身分。
此政策授予唯讀許可,允許透過 AWS 管理主控台、 SDK 和 CLI 存取 WorkSpaces 安全瀏覽器及其相依性。此政策不包括使用 `IAM_Identity_Center` 當成驗證類型與入口網站進行互動所需的許可。若要取得這些許可,請將此政策加上 `AWSSSOReadOnly`。
**注意**
如果您目前正在使用此政策,請切換到新`AmazonWorkSpacesSecureBrowserReadOnly`政策。
**許可詳細資訊**
此政策包含以下許可。
+ `workspaces-web` – 透過 AWS 管理主控台、 SDK 和 CLI 提供 WorkSpaces 安全瀏覽器及其相依性的唯讀存取權。
+ `ec2`:允許主體描述 VPC、子網路與安全群組。這在 WorkSpaces 安全瀏覽器的 AWS 管理主控台中使用,以顯示可供與服務搭配使用VPCs、子網路和安全群組。
+ `Kinesis` – 允許主體取得 Kinesis 資料串流的清單。這是在 WorkSpaces 安全瀏覽器的 AWS 管理主控台中用來顯示可用於 服務的 Kinesis 資料串流。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"workspaces-web:GetBrowserSettings",
"workspaces-web:GetIdentityProvider",
"workspaces-web:GetNetworkSettings",
"workspaces-web:GetPortal",
"workspaces-web:GetPortalServiceProviderMetadata",
"workspaces-web:GetTrustStore",
"workspaces-web:GetTrustStoreCertificate",
"workspaces-web:GetUserSettings",
"workspaces-web:GetUserAccessLoggingSettings",
"workspaces-web:ListBrowserSettings",
"workspaces-web:ListIdentityProviders",
"workspaces-web:ListNetworkSettings",
"workspaces-web:ListPortals",
"workspaces-web:ListTagsForResource",
"workspaces-web:ListTrustStoreCertificates",
"workspaces-web:ListTrustStores",
"workspaces-web:ListUserSettings",
"workspaces-web:ListUserAccessLoggingSettings"
],
"Resource": "arn:aws:workspaces-web:*:*:*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"kinesis:ListStreams"
],
"Resource": "*"
}
]
}
```
# AWS 受管政策的 WorkSpaces 安全瀏覽器更新
檢視自此服務開始追蹤這些變更以來WorkSpaces 安全瀏覽器的 AWS 受管政策更新詳細資訊。如需有關此頁面變更的自動提醒,請訂閱 [Amazon WorkSpaces 安全瀏覽器管理指南的文件歷史記錄](doc-history.md) 頁面的 RSS 摘要。
| 變更 | 描述 | Date |
| --- | --- | --- |
| [AmazonWorkSpacesSecureBrowserReadOnly](security-iam-awsmanpol-AmazonWorkSpacesSecureBrowserReadOnly.md) – 新政策 | WorkSpaces 安全瀏覽器新增了新政策,透過 AWS 管理主控台、 SDK 和 CLI 提供 WorkSpaces 安全瀏覽器及其相依性的唯讀存取權。 | 2024 年 6 月 24 日 |
| [AmazonWorkSpacesWebServiceRolePolicy](security-iam-awsmanpol-AmazonWorkSpacesWebServiceRolePolicy.md) – 更新的政策 | WorkSpaces 安全瀏覽器已更新政策,限制 CreateNetworkInterface 使用 aws:RequestTag/WorkSpacesWebManaged: true 並對子網路和安全群組資源採取行動,以及限制 DeleteNetworkInterface 使用 aws:ResourceTag/WorkSpacesWebManaged: true 標記的 ENIs。 | 2022 年 12 月 15 日 |
| [AmazonWorkSpacesWebReadOnly](security-iam-awsmanpol-AmazonWorkSpacesWebReadOnly.md) – 更新的政策 | WorkSpaces 安全瀏覽器已更新政策,以包含使用者存取記錄和列出 Kinesis 資料串流的讀取許可。如需詳細資訊,請參閱[在 Amazon WorkSpaces 安全瀏覽器中設定使用者活動記錄](user-logging.md)。 | 2022 年 11 月 2 日 |
| [AmazonWorkSpacesWebServiceRolePolicy](security-iam-awsmanpol-AmazonWorkSpacesWebServiceRolePolicy.md) – 更新的政策 | WorkSpaces 安全瀏覽器已更新政策,以描述 Kinesis 資料串流的摘要,並將記錄放入 Kinesis 資料串流,以供使用者存取記錄。如需詳細資訊,請參閱[在 Amazon WorkSpaces 安全瀏覽器中設定使用者活動記錄](user-logging.md)。 | 2022 年 10 月 17 日 |
| [AmazonWorkSpacesWebServiceRolePolicy](security-iam-awsmanpol-AmazonWorkSpacesWebServiceRolePolicy.md) – 更新的政策 | WorkSpaces 安全瀏覽器已更新政策,以在 ENI 建立期間建立標籤。 | 2022 年 9 月 6 日 |
| [AmazonWorkSpacesWebServiceRolePolicy](security-iam-awsmanpol-AmazonWorkSpacesWebServiceRolePolicy.md) – 更新的政策 | WorkSpaces 安全瀏覽器已更新政策,將 AWS/Usage 命名空間新增至 PutMetricData API 許可。 | 2022 年 4 月 6 日 |
| [AmazonWorkSpacesWebReadOnly](security-iam-awsmanpol-AmazonWorkSpacesWebReadOnly.md) – 新政策 | WorkSpaces 安全瀏覽器新增了新政策,透過 AWS 管理主控台、 SDK 和 CLI 提供 WorkSpaces 安全瀏覽器及其相依性的唯讀存取權。 | 2021 年 11 月 30 日 |
| [AmazonWorkSpacesWebServiceRolePolicy](security-iam-awsmanpol-AmazonWorkSpacesWebServiceRolePolicy.md) – 新政策 | WorkSpaces 安全瀏覽器新增了新的政策,以允許存取 WorkSpaces 安全瀏覽器使用或管理的 AWS 服務和資源。 | 2021 年 11 月 30 日 |
| WorkSpaces 安全瀏覽器已開始追蹤變更 | WorkSpaces 安全瀏覽器開始追蹤其 AWS 受管政策的變更。 | 2021 年 11 月 30 日 |