本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS WorkSpaces 的 受管政策
使用 AWS 受管政策可讓您更輕鬆地將許可新增至使用者、群組和角色。建立 [IAM 客戶受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)需要時間和專業知識,而受管政策可為您的團隊提供其所需的許可。使用 AWS 受管政策快速入門。這些政策涵蓋常見的使用案例,並且可在您的帳戶中使用 AWS 。如需 AWS 受管政策的詳細資訊,請參閱《*IAM 使用者指南*》中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
AWS 服務會維護和更新 AWS 受管政策。您無法變更 AWS 受管政策中的許可。服務可能會偶爾將其他許可新增至 AWS 受管政策,以支援新功能。此類型的更新會影響已連接政策的所有身分識別 (使用者、群組和角色)。當新功能啟動或新操作可用時,服務最有可能更新 AWS 受管政策。服務不會從 AWS 受管政策中移除許可,因此政策更新不會破壞您現有的許可。
此外, AWS 支援跨多個 服務之任務函數的受管政策。例如, `ReadOnlyAccess` AWS 受管政策提供所有 AWS 服務和資源的唯讀存取權。當服務啟動新功能時, AWS 會為新的操作和資源新增唯讀許可。如需任務職能政策的清單和說明,請參閱 *IAM 使用者指南*中[有關任務職能的AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
## AWS 受管政策:AmazonWorkSpacesAdmin
**注意**
列出的許可僅適用於 SDK,不適用於 主控台。主控台需要 [Amazon WorkSpaces 主控台操作許可參考中列出的其他許可](wsp-console-permissions-ref.md)。
此政策提供對 Amazon WorkSpaces 管理動作的存取許可。其可提供下列許可:
+ `workspaces` - 允許存取對 WorkSpaces Personal 和 WorkSpaces 集區資源執行管理動作。
+ `kms` - 允許存取以列出和描述 KMS 金鑰以及列表別名。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonWorkSpacesAdmin",
"Effect": "Allow",
"Action": [
"kms:DescribeKey",
"kms:ListAliases",
"kms:ListKeys",
"workspaces:CreateTags",
"workspaces:CreateWorkspaceImage",
"workspaces:CreateWorkspaces",
"workspaces:CreateWorkspacesPool",
"workspaces:CreateStandbyWorkspaces",
"workspaces:DeleteTags",
"workspaces:DeregisterWorkspaceDirectory",
"workspaces:DescribeTags",
"workspaces:DescribeWorkspaceBundles",
"workspaces:DescribeWorkspaceDirectories",
"workspaces:DescribeWorkspaces",
"workspaces:DescribeWorkspacesPools",
"workspaces:DescribeWorkspacesPoolSessions",
"workspaces:DescribeWorkspacesConnectionStatus",
"workspaces:ModifyCertificateBasedAuthProperties",
"workspaces:ModifySamlProperties",
"workspaces:ModifyStreamingProperties",
"workspaces:ModifyWorkspaceCreationProperties",
"workspaces:ModifyWorkspaceProperties",
"workspaces:RebootWorkspaces",
"workspaces:RebuildWorkspaces",
"workspaces:RegisterWorkspaceDirectory",
"workspaces:RestoreWorkspace",
"workspaces:StartWorkspaces",
"workspaces:StartWorkspacesPool",
"workspaces:StopWorkspaces",
"workspaces:StopWorkspacesPool",
"workspaces:TerminateWorkspaces",
"workspaces:TerminateWorkspacesPool",
"workspaces:TerminateWorkspacesPoolSession",
"workspaces:UpdateWorkspacesPool"
],
"Resource": "*"
}
]
}
```
------
## AWS 受管政策:AmazonWorkspacesPCAAccess
此受管政策可讓您存取 AWS 帳戶中的 AWS Certificate Manager Private Certificate Authority (Private CA) 資源,以進行憑證型身分驗證。其包含在 AmazonWorkSpacesPCAAccess 角色中,並提供下列許可:
+ `acm-pca` - 允許存取 AWS 私有 CA 以管理憑證型身分驗證。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"acm-pca:IssueCertificate",
"acm-pca:GetCertificate",
"acm-pca:DescribeCertificateAuthority"
],
"Resource": "arn:*:acm-pca:*:*:*",
"Condition": {
"StringLike": {
"aws:ResourceTag/euc-private-ca": "*"
}
}
}
]
}
```
------
## AWS 受管政策:AmazonWorkSpacesSelfServiceAccess
此政策可供存取 Amazon WorkSpaces 服務,以執行使用者初始的 WorkSpaces 自助式動作。其包含在 `workspaces_DefaultRole` 角色中,並提供下列許可:
+ `workspaces` - 允許存取使用者的自助式 WorkSpaces 管理功能。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"workspaces:RebootWorkspaces",
"workspaces:RebuildWorkspaces",
"workspaces:ModifyWorkspaceProperties"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## AWS 受管政策:AmazonWorkSpacesServiceAccess
此政策可供客戶帳戶存取 Amazon WorkSpaces 服務,以便啟動 WorkSpace。其包含在 `workspaces_DefaultRole` 角色中,並提供下列許可:
+ `ec2` - 允許存取以管理與 WorkSpace 相關聯的 Amazon EC2 資源,例如網路介面。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface",
"ec2:DescribeNetworkInterfaces"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## AWS 受管政策:AmazonWorkSpacesPoolServiceAccess
此政策用於 workspaces\_DefaultRole,WorkSpaces 會使用此政策來存取 WorkSpaces 集區客戶 AWS 帳戶中的必要資源。如需更多資訊,請參閱[建立 workspaces\_DefaultRole 角色](workspaces-access-control.md#create-default-role)。其可提供下列許可:
+ `ec2` - 允許存取以管理與 WorkSpaces 集區相關聯的 Amazon EC2 資源,例如 VPCs、子網路、可用區域、安全群組和路由表。
+ `s3` - 允許存取對日誌、應用程式設定和主資料夾功能所需的 Amazon S3 儲存貯體執行動作。
------
#### [ Commercial AWS 區域 ]
下列政策 JSON 適用於商業 AWS 區域。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ProvisioningWorkSpacesPoolPermissions",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSecurityGroups",
"ec2:DescribeRouteTables",
"s3:ListAllMyBuckets"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "WorkSpacesPoolS3Permissions",
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:ListBucket",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetObjectVersion",
"s3:DeleteObjectVersion",
"s3:GetBucketPolicy",
"s3:PutBucketPolicy",
"s3:PutEncryptionConfiguration"
],
"Resource": [
"arn:aws:s3:::wspool-logs-*",
"arn:aws:s3:::wspool-app-settings-*",
"arn:aws:s3:::wspool-home-folder-*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
------
#### [ AWS GovCloud (US) Regions ]
下列政策 JSON 適用於商業 AWS GovCloud (US) Regions。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ProvisioningWorkSpacesPoolPermissions",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSecurityGroups",
"ec2:DescribeRouteTables",
"s3:ListAllMyBuckets"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "WorkSpacesPoolS3Permissions",
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:ListBucket",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetObjectVersion",
"s3:DeleteObjectVersion",
"s3:GetBucketPolicy",
"s3:PutBucketPolicy",
"s3:PutEncryptionConfiguration"
],
"Resource": [
"arn:aws-us-gov:s3:::wspool-logs-*",
"arn:aws-us-gov:s3:::wspool-app-settings-*",
"arn:aws-us-gov:s3:::wspool-home-folder-*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
------
## AWS 受管政策的 WorkSpaces 更新
檢視自此服務開始追蹤這些變更以來,WorkSpaces AWS 受管政策更新的詳細資訊。
| 變更 | 描述 | Date |
| --- | --- | --- |
| [AWS 受管政策:AmazonWorkSpacesPoolServiceAccess](#workspaces-pools-service-access) - 新增的政策。 | WorkSpaces 新增了新的受管政策,以授予檢視 Amazon EC2 VPCs 和相關資源的許可,以及檢視和管理 WorkSpaces 集區的 Amazon S3 儲存貯體。 | 2024 年 6 月 24 日 |
| [AWS 受管政策:AmazonWorkSpacesAdmin](#workspaces-admin) - 更新的政策 | WorkSpaces 將 WorkSpaces 集區的數個動作新增至 Amazon WorkSpacesAdmin 受管政策,授予管理員管理 WorkSpace 集區資源的存取權。 | 2024 年 6 月 24 日 |
| [AWS 受管政策:AmazonWorkSpacesAdmin](#workspaces-admin) - 更新的政策 | WorkSpaces 將 workspaces:RestoreWorkspace 動作新增至 Amazon WorkSpacesAdmin 受管政策,並授予管理員還原 WorkSpaces 的存取權。 | 2023 年 6 月 25 日 |
| [AWS 受管政策:AmazonWorkspacesPCAAccess](#workspaces-pca-access) - 新增的政策。 | WorkSpaces 新增了新的受管政策,以授予管理 AWS 私有 CA 以管理憑證型身分驗證的acm-pca許可。 | 2022 年 11 月 18 日 |
| WorkSpaces 已開始追蹤變更 | WorkSpaces 已開始追蹤其 WorkSpaces 受管政策的變更。 | 2021 年 3 月 1 日 |