AWS verwaltete Richtlinien für WorkSpaces Secure Browser - WorkSpaces Sicherer Browser von Amazon
AmazonWorkSpacesWebServiceRolePolicyAmazonWorkSpacesSecureBrowserReadOnlyAmazonWorkSpacesWebReadOnlyRichtlinienaktualisierungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS verwaltete Richtlinien für WorkSpaces Secure Browser

Um Benutzern, Gruppen und Rollen Berechtigungen hinzuzufügen, ist es einfacher, AWS verwaltete Richtlinien zu verwenden, als Richtlinien selbst zu schreiben. Es erfordert Zeit und Fachwissen, um von Kunden verwaltete IAM-Richtlinien zu erstellen, die Ihrem Team nur die benötigten Berechtigungen bieten. Um schnell loszulegen, können Sie unsere AWS verwalteten Richtlinien verwenden. Diese Richtlinien decken allgemeine Anwendungsfälle ab und sind in Ihrem AWS Konto verfügbar. Weitere Informationen zu AWS verwalteten Richtlinien finden Sie unter AWS Verwaltete Richtlinien im IAM-Benutzerhandbuch.

AWS Dienste verwalten und aktualisieren AWS verwaltete Richtlinien. Sie können die Berechtigungen in AWS verwalteten Richtlinien nicht ändern. Dienste können einer AWS verwalteten Richtlinie gelegentlich zusätzliche Berechtigungen hinzufügen, um neue Funktionen zu unterstützen. Diese Art von Update betrifft alle Identitäten (Benutzer, Gruppen und Rollen), an welche die Richtlinie angehängt ist. Services aktualisieren eine von AWS verwaltete Richtlinie am ehesten, ein neues Feature gestartet wird oder neue Vorgänge verfügbar werden. Dienste entfernen keine Berechtigungen aus einer AWS verwalteten Richtlinie, sodass durch Richtlinienaktualisierungen Ihre bestehenden Berechtigungen nicht beeinträchtigt werden.

AWS Unterstützt außerdem verwaltete Richtlinien für Jobfunktionen, die sich über mehrere Dienste erstrecken. Die ReadOnlyAccess AWS verwaltete Richtlinie bietet beispielsweise schreibgeschützten Zugriff auf alle AWS Dienste und Ressourcen. Wenn ein Dienst eine neue Funktion startet, werden nur Leseberechtigungen für neue Operationen und Ressourcen AWS hinzugefügt. Eine Liste und Beschreibungen der Richtlinien für Auftragsfunktionen finden Sie in Verwaltete AWS -Richtlinien für Auftragsfunktionen im IAM-Leitfaden.

AWS verwaltete Richtlinie: AmazonWorkSpacesWebServiceRolePolicy

Sie können die AmazonWorkSpacesWebServiceRolePolicy-Richtlinie Ihren IAM-Entitäten nicht anfügen. Diese Richtlinie ist mit einer dienstbezogenen Rolle verknüpft, die es WorkSpaces Secure Browser ermöglicht, Aktionen in Ihrem Namen durchzuführen. Weitere Informationen finden Sie unter Verwenden von dienstverknüpften Rollen für WorkSpaces Secure Browser.

Diese Richtlinie gewährt Administratorberechtigungen, die den Zugriff auf AWS Dienste und Ressourcen ermöglichen, die von WorkSpaces Secure Browser verwendet oder verwaltet werden.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen:

  • workspaces-web— Ermöglicht den Zugriff auf AWS Dienste und Ressourcen, die von WorkSpaces Secure Browser verwendet oder verwaltet werden.

  • ec2 – ermöglicht es Prinzipalen, VPCs, Subnetze und Availability Zones zu beschreiben, Netzwerkschnittstellen zu erstellen, zu kennzeichnen, zu beschreiben und zu löschen, eine Adresse zuzuordnen oder zu trennen und Routing-Tabellen, Sicherheitsgruppen und VPC-Endpunkte zu beschreiben.

  • CloudWatch – ermöglicht es Prinzipalen, Metrikdaten einzugeben.

  • Kinesis – ermöglicht es Prinzipalen, eine Zusammenfassung der Kinesis-Datenströme zu beschreiben und Datensätze zur Protokollierung von Benutzerzugriffen in Kinesis-Datenströmen abzulegen. Weitere Informationen finden Sie unter Benutzerzugriffsprotokollierung einrichten.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeNetworkInterfaces",
                "ec2:AssociateAddress",
                "ec2:DisassociateAddress",
                "ec2:DescribeRouteTables",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeVpcEndpoints"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:subnet/*",
                "arn:aws:ec2:*:*:security-group/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface"
            ],
            "Resource": "arn:aws:ec2:*:*:network-interface/*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/WorkSpacesWebManaged": "true"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "arn:aws:ec2:*:*:network-interface/*",
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": "CreateNetworkInterface"
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": [
                        "WorkSpacesWebManaged"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DeleteNetworkInterface"
            ],
            "Resource": "arn:aws:ec2:*:*:network-interface/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/WorkSpacesWebManaged": "true"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": [
                        "AWS/WorkSpacesWeb",
                        "AWS/Usage"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "kinesis:PutRecord",
                "kinesis:PutRecords",
                "kinesis:DescribeStreamSummary"
            ],
            "Resource": "arn:aws:kinesis:*:*:stream/amazon-workspaces-web-*"
        }
    ]
}

AWS verwaltete Richtlinie: AmazonWorkSpacesSecureBrowserReadOnly

Sie können die AmazonWorkSpacesSecureBrowserReadOnly-Richtlinie an Ihre IAM-Identitäten anfügen.

Diese Richtlinie gewährt nur Leseberechtigungen, die den Zugriff auf WorkSpaces Secure Browser und seine Abhängigkeiten über die AWS Management Console, das SDK und die CLI ermöglichen. Diese Richtlinie beinhaltet keine Berechtigungen, die für die Interaktion mit Portalen erforderlich sind, bei denen IAM_Identity_Center als Authentifizierungstyp verwendet wird. Wenn Sie diese Berechtigungen erhalten möchten, kombinieren Sie diese Richtlinie mit AWSSSOReadOnly.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • workspaces-web— Bietet über die AWS Management Console, das SDK und die CLI schreibgeschützten Zugriff auf WorkSpaces Secure Browser und seine Abhängigkeiten.

  • ec2 – ermöglicht es Prinzipalen, VPCs, Subnetze und Sicherheitsgruppen zu beschreiben. Dies wird in der AWS Management Console im WorkSpaces Secure Browser verwendet, um Ihnen Ihre VPCs, Subnetze und Sicherheitsgruppen anzuzeigen, die für die Verwendung mit dem Service verfügbar sind.

  • Kinesis – ermöglicht Prinzipalen das Aufführen von Amazon-Kinesis-Datenströmen. Dies wird in der AWS Management Console im WorkSpaces Secure Browser verwendet, um Ihnen Kinesis-Datenstreams anzuzeigen, die für die Verwendung mit dem Service verfügbar sind.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "workspaces-web:GetBrowserSettings",
                "workspaces-web:GetIdentityProvider",
                "workspaces-web:GetNetworkSettings",
                "workspaces-web:GetPortal",
                "workspaces-web:GetPortalServiceProviderMetadata",
                "workspaces-web:GetTrustStore",
                "workspaces-web:GetTrustStoreCertificate",
                "workspaces-web:GetUserSettings",
                "workspaces-web:GetUserAccessLoggingSettings",
                "workspaces-web:ListBrowserSettings",
                "workspaces-web:ListIdentityProviders",
                "workspaces-web:ListNetworkSettings",
                "workspaces-web:ListPortals",
                "workspaces-web:ListTagsForResource",
                "workspaces-web:ListTrustStoreCertificates",
                "workspaces-web:ListTrustStores",
                "workspaces-web:ListUserSettings",
                "workspaces-web:ListUserAccessLoggingSettings"
            ],
            "Resource": "arn:aws:workspaces-web:*:*:*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "kinesis:ListStreams"
            ],
            "Resource": "*"
        }
    ]
}

AWS verwaltete Richtlinie: AmazonWorkSpacesWebReadOnly

Sie können die AmazonWorkSpacesWebReadOnly-Richtlinie an Ihre IAM-Identitäten anfügen.

Diese Richtlinie gewährt nur Leseberechtigungen, die den Zugriff auf WorkSpaces Secure Browser und seine Abhängigkeiten über die AWS Management Console, das SDK und die CLI ermöglichen. Diese Richtlinie beinhaltet keine Berechtigungen, die für die Interaktion mit Portalen erforderlich sind, bei denen IAM_Identity_Center als Authentifizierungstyp verwendet wird. Wenn Sie diese Berechtigungen erhalten möchten, kombinieren Sie diese Richtlinie mit AWSSSOReadOnly.

Anmerkung

Wenn Sie diese Richtlinie derzeit verwenden, wechseln Sie zu der neuen AmazonWorkSpacesSecureBrowserReadOnly Richtlinie.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • workspaces-web— Bietet über die AWS Management Console, das SDK und die CLI schreibgeschützten Zugriff auf WorkSpaces Secure Browser und seine Abhängigkeiten.

  • ec2 – ermöglicht es Prinzipalen, VPCs, Subnetze und Sicherheitsgruppen zu beschreiben. Dies wird in der AWS Management Console im WorkSpaces Secure Browser verwendet, um Ihnen Ihre VPCs, Subnetze und Sicherheitsgruppen anzuzeigen, die für die Verwendung mit dem Service verfügbar sind.

  • Kinesis – ermöglicht Prinzipalen das Aufführen von Amazon-Kinesis-Datenströmen. Dies wird in der AWS Management Console im WorkSpaces Secure Browser verwendet, um Ihnen Kinesis-Datenstreams anzuzeigen, die für die Verwendung mit dem Service verfügbar sind.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "workspaces-web:GetBrowserSettings",
                "workspaces-web:GetIdentityProvider",
                "workspaces-web:GetNetworkSettings",
                "workspaces-web:GetPortal",
                "workspaces-web:GetPortalServiceProviderMetadata",
                "workspaces-web:GetTrustStore",
                "workspaces-web:GetTrustStoreCertificate",
                "workspaces-web:GetUserSettings",
                "workspaces-web:GetUserAccessLoggingSettings",
                "workspaces-web:ListBrowserSettings",
                "workspaces-web:ListIdentityProviders",
                "workspaces-web:ListNetworkSettings",
                "workspaces-web:ListPortals",
                "workspaces-web:ListTagsForResource",
                "workspaces-web:ListTrustStoreCertificates",
                "workspaces-web:ListTrustStores",
                "workspaces-web:ListUserSettings",
                "workspaces-web:ListUserAccessLoggingSettings"
            ],
            "Resource": "arn:aws:workspaces-web:*:*:*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "kinesis:ListStreams"
            ],
            "Resource": "*"
        }
    ]
}

WorkSpaces Secure Browser-Updates für AWS verwaltete Richtlinien

Sehen Sie sich Details zu Aktualisierungen der AWS verwalteten Richtlinien für WorkSpaces Secure Browser an, seit dieser Dienst begonnen hat, diese Änderungen zu verfolgen. Um automatische Warnungen über Änderungen an dieser Seite zu erhalten, abonnieren Sie den RSS-Feed auf der Dokumentenverlauf für das Amazon WorkSpaces Secure Browser Administration Guide-Seite.

Änderung Beschreibung Datum

AmazonWorkSpacesSecureBrowserReadOnly – Neue Richtlinie.

WorkSpaces Secure Browser hat eine neue Richtlinie hinzugefügt, die Lesezugriff auf WorkSpaces Secure Browser und seine Abhängigkeiten über die AWS-Managementkonsole, das SDK und die CLI ermöglicht.

 24. Juni 2024

AmazonWorkSpacesWebServiceRolePolicy— Aktualisierte Richtlinie

 WorkSpaces Secure Browser hat die Richtlinie aktualisiert, sodass CreateNetworkInterface nur noch Tags mit aws:RequestTag/WorkSpacesWebManaged: true und Aktionen auf Subnetz- und Sicherheitsgruppenressourcen sowie auf ENIs DeleteNetworkInterface beschränkt werden, die mit aws:ResourceTag/WorkSpacesWebManaged: true gekennzeichnet sind. 15. Dezember 2022
AmazonWorkSpacesWebReadOnly— Die Richtlinie wurde aktualisiert

WorkSpaces Secure Browser hat die Richtlinie um Leseberechtigungen für die Protokollierung von Benutzerzugriffen und die Auflistung von Kinesis-Datenströmen erweitert. Weitere Informationen finden Sie unter Benutzerzugriffsprotokollierung einrichten.

 02. November 2022

AmazonWorkSpacesWebServiceRolePolicy— Die Richtlinie wurde aktualisiert

WorkSpaces Secure Browser hat die Richtlinie aktualisiert, um eine Zusammenfassung der Kinesis-Datenströme zu beschreiben und Datensätze für die Benutzerzugriffsprotokollierung in Kinesis-Datenströmen abzulegen. Weitere Informationen finden Sie unter Benutzerzugriffsprotokollierung einrichten.

 17. Oktober 2022

AmazonWorkSpacesWebServiceRolePolicy— Die Richtlinie wurde aktualisiert

WorkSpaces Secure Browser hat die Richtlinie zur Erstellung von Tags während der ENI-Erstellung aktualisiert.

 6. September 2022

AmazonWorkSpacesWebServiceRolePolicy— Die Richtlinie wurde aktualisiert

WorkSpaces Secure Browser hat die Richtlinie aktualisiert, um den AWS/Usage-Namespace zu den PutMetricData API-Berechtigungen hinzuzufügen.

 6. April 2022

AmazonWorkSpacesWebReadOnly – Neue Richtlinie.

WorkSpaces Secure Browser hat eine neue Richtlinie hinzugefügt, die Lesezugriff auf WorkSpaces Secure Browser und seine Abhängigkeiten über die AWS-Managementkonsole, das SDK und die CLI ermöglicht.

 30. November 2021

AmazonWorkSpacesWebServiceRolePolicy – Neue Richtlinie.

WorkSpaces Secure Browser hat eine neue Richtlinie hinzugefügt, die den Zugriff auf AWS-Services und -Ressourcen ermöglicht, die von WorkSpaces Secure Browser verwendet oder verwaltet werden.

 30. November 2021

WorkSpaces Secure Browser hat begonnen, Änderungen zu verfolgen

WorkSpaces Secure Browser begann, Änderungen an seinen AWS verwalteten Richtlinien nachzuverfolgen.

30. November 2021