AmazonWorkSpacesAdmin AmazonWorkspacesPCAAccess AmazonWorkSpacesSelfServiceAccess AmazonWorkSpacesServiceAccess AmazonWorkSpacesPoolServiceAcces WorkSpaces Aktualisierungen der AWS verwalteten Richtlinien

AWS verwaltete Richtlinien für WorkSpaces

Durch die Verwendung AWS verwalteter Richtlinien ist das Hinzufügen von Berechtigungen für Benutzer, Gruppen und Rollen einfacher als das Erstellen von Richtlinien selbst. Es erfordert Zeit und Fachwissen, um vom IAMKunden verwaltete Richtlinien zu erstellen, die Ihrem Team nur die Berechtigungen gewähren, die es benötigt. Verwenden Sie AWS verwaltete Richtlinien, um schnell loszulegen. Diese Richtlinien decken allgemeine Anwendungsfälle ab und sind in Ihrem AWS Konto verfügbar. Weitere Informationen zu AWS verwalteten Richtlinien finden Sie im IAMBenutzerhandbuch unter AWS Verwaltete Richtlinien.

AWS Dienste verwalten und aktualisieren AWS verwaltete Richtlinien. Sie können die Berechtigungen in AWS verwalteten Richtlinien nicht ändern. Dienste können einer AWS verwalteten Richtlinie gelegentlich zusätzliche Berechtigungen hinzufügen, um neue Funktionen zu unterstützen. Diese Art von Update betrifft alle Identitäten (Benutzer, Gruppen und Rollen), an welche die Richtlinie angehängt ist. Es ist sehr wahrscheinlich, dass Dienste eine AWS verwaltete Richtlinie aktualisieren, wenn eine neue Funktion eingeführt wird oder wenn neue Operationen verfügbar werden. Dienste entfernen keine Berechtigungen aus einer AWS verwalteten Richtlinie, sodass durch Richtlinienaktualisierungen Ihre bestehenden Berechtigungen nicht beeinträchtigt werden.

AWS Unterstützt außerdem verwaltete Richtlinien für Jobfunktionen, die sich über mehrere Dienste erstrecken. Die ReadOnlyAccess AWS verwaltete Richtlinie bietet beispielsweise schreibgeschützten Zugriff auf alle AWS Dienste und Ressourcen. Wenn ein Service ein neues Feature startet, fügt AWS schreibgeschützte Berechtigungen für neue Vorgänge und Ressourcen hinzu. Eine Liste und eine Beschreibung der Richtlinien für Jobfunktionen finden Sie im IAMBenutzerhandbuch unter AWS Verwaltete Richtlinien für Jobfunktionen.

AWS verwaltete Richtlinie: AmazonWorkSpacesAdmin

Diese Richtlinie bietet Zugriff auf WorkSpaces administrative Aktionen von Amazon. Sie stellt die folgenden Berechtigungen bereit:

workspaces- Ermöglicht den Zugriff auf administrative Aktionen für WorkSpaces Personal- und WorkSpaces Pools-Ressourcen.
kms- Ermöglicht den Zugriff auf Listen- und KMS Beschreibungsschlüssel sowie auf Listenaliase.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AmazonWorkSpacesAdmin",
            "Effect": "Allow",
            "Action": [
                "kms:DescribeKey",
                "kms:ListAliases",
                "kms:ListKeys",
                "workspaces:CreateTags",
                "workspaces:CreateWorkspaceImage",
                "workspaces:CreateWorkspaces",
                "workspaces:CreateWorkspacesPool",
                "workspaces:CreateStandbyWorkspaces",
                "workspaces:DeleteTags",
                "workspaces:DeregisterWorkspaceDirectory",
                "workspaces:DescribeTags",
                "workspaces:DescribeWorkspaceBundles",
                "workspaces:DescribeWorkspaceDirectories",
                "workspaces:DescribeWorkspaces",
                "workspaces:DescribeWorkspacesPools",
                "workspaces:DescribeWorkspacesPoolSessions",
                "workspaces:DescribeWorkspacesConnectionStatus",
                "workspaces:ModifyCertificateBasedAuthProperties",
                "workspaces:ModifySamlProperties",
                "workspaces:ModifyStreamingProperties",
                "workspaces:ModifyWorkspaceCreationProperties",
                "workspaces:ModifyWorkspaceProperties",
                "workspaces:RebootWorkspaces",
                "workspaces:RebuildWorkspaces",
                "workspaces:RegisterWorkspaceDirectory",
                "workspaces:RestoreWorkspace",
                "workspaces:StartWorkspaces",
                "workspaces:StartWorkspacesPool",
                "workspaces:StopWorkspaces",
                "workspaces:StopWorkspacesPool",
                "workspaces:TerminateWorkspaces",
                "workspaces:TerminateWorkspacesPool",
                "workspaces:TerminateWorkspacesPoolSession",
                "workspaces:UpdateWorkspacesPool"
            ],
            "Resource": "*"
        }
    ]
}

AWS verwaltete Richtlinie: AmazonWorkspaces PCAAccess

Diese verwaltete Richtlinie ermöglicht den Zugriff auf die Ressourcen der AWS Certificate Manager Private Certificate Authority (Private CA) in Ihrem AWS Konto für die zertifikatsbasierte Authentifizierung. Sie ist in der AmazonWorkSpaces PCAAccess Rolle enthalten und bietet die folgenden Berechtigungen:

acm-pca- Ermöglicht den Zugriff auf AWS Private CA zur Verwaltung der zertifikatsbasierten Authentifizierung.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "acm-pca:IssueCertificate",
                "acm-pca:GetCertificate",
                "acm-pca:DescribeCertificateAuthority"
            ],
            "Resource": "arn:*:acm-pca:*:*:*",
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/euc-private-ca": "*"
                }
            }
        }
    ]
}

AWS verwaltete Richtlinie: AmazonWorkSpacesSelfServiceAccess

Diese Richtlinie gewährt Zugriff auf den WorkSpaces Amazon-Service, um WorkSpaces Self-Service-Aktionen durchzuführen, die von einem Benutzer initiiert wurden. Sie ist in der Rolle workspaces_DefaultRole enthalten und bietet die folgenden Berechtigungen:

workspaces- Ermöglicht Benutzern den Zugriff auf WorkSpaces Self-Service-Verwaltungsfunktionen.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "workspaces:RebootWorkspaces",
                "workspaces:RebuildWorkspaces",
                "workspaces:ModifyWorkspaceProperties"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

AWS verwaltete Richtlinie: AmazonWorkSpacesServiceAccess

Diese Richtlinie ermöglicht dem Kundenkonto den Zugriff auf den WorkSpaces Amazon-Service zum Starten eines WorkSpace. Sie ist in der Rolle workspaces_DefaultRole enthalten und bietet die folgenden Berechtigungen:

ec2- Ermöglicht den Zugriff auf die Verwaltung von EC2 Amazon-Ressourcen, die mit einem verknüpft sind WorkSpace, z. B. Netzwerkschnittstellen.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ec2:CreateNetworkInterface",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeNetworkInterfaces"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

AWS verwaltete Richtlinie: AmazonWorkSpacesPoolServiceAccess

Diese Richtlinie wird in workspaces_ verwendetDefaultRole, das für den Zugriff auf die erforderlichen Ressourcen im AWS Kundenkonto für Pools WorkSpaces verwendet wird. WorkSpaces Weitere Informationen finden Sie unter Erstellen Sie die Rolle workspaces_ DefaultRole . Sie stellt die folgenden Berechtigungen bereit:

ec2- Ermöglicht den Zugriff auf die Verwaltung von EC2 Amazon-Ressourcen, die einem WorkSpaces Pool zugeordnet sind, wie SubnetzeVPCs, Availability Zones, Sicherheitsgruppen und Routing-Tabellen.
s3- Ermöglicht den Zugriff auf Aktionen für Amazon S3 S3-Buckets, die für Protokolle, Anwendungseinstellungen und die Home-Folder-Funktion erforderlich sind.

Commercial AWS-Regionen

Die folgende Richtlinie JSON gilt für den Werbespot AWS-Regionen.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ProvisioningWorkSpacesPoolPermissions",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeRouteTables",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "WorkSpacesPoolS3Permissions",
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:ListBucket",
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:GetObjectVersion",
                "s3:DeleteObjectVersion",
                "s3:GetBucketPolicy",
                "s3:PutBucketPolicy",
                "s3:PutEncryptionConfiguration"
            ],
            "Resource": [
                "arn:aws:s3:::wspool-logs-*",
                "arn:aws:s3:::wspool-app-settings-*",
                "arn:aws:s3:::wspool-home-folder-*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        }
    ]
}

AWS GovCloud (US) Regions

Die folgenden Richtlinien JSON gelten für den Werbespot AWS GovCloud (US) Regions.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ProvisioningWorkSpacesPoolPermissions",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeRouteTables",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "WorkSpacesPoolS3Permissions",
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:ListBucket",
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:GetObjectVersion",
                "s3:DeleteObjectVersion",
                "s3:GetBucketPolicy",
                "s3:PutBucketPolicy",
                "s3:PutEncryptionConfiguration"
            ],
            "Resource": [
                "arn:aws-us-gov:s3:::wspool-logs-*",
                "arn:aws-us-gov:s3:::wspool-app-settings-*",
                "arn:aws-us-gov:s3:::wspool-home-folder-*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        }
    ]
}

WorkSpaces Aktualisierungen der AWS verwalteten Richtlinien

Hier finden Sie Informationen zu Aktualisierungen AWS verwalteter Richtlinien, die WorkSpaces seit Beginn der Nachverfolgung dieser Änderungen durch diesen Dienst vorgenommen wurden.

Änderung	Beschreibung	Datum
AWS verwaltete Richtlinie: AmazonWorkSpacesPoolServiceAccess – Neue Richtlinie hinzugefügt.	WorkSpaces hat eine neue verwaltete Richtlinie hinzugefügt, um Berechtigungen zum Anzeigen von Amazon EC2 VPCs und verwandten Ressourcen sowie zum Anzeigen und Verwalten von Amazon S3 S3-Buckets für WorkSpaces Pools zu erteilen.	24. Juni 2024
AWS verwaltete Richtlinie: AmazonWorkSpacesAdmin – Richtlinie aktualisieren	WorkSpaces der von Amazon WorkSpacesAdmin verwalteten Richtlinie wurden mehrere Aktionen für WorkSpaces Pools hinzugefügt, sodass Administratoren Zugriff auf die Verwaltung von WorkSpace Pool-Ressourcen erhalten.	24. Juni 2024
AWS verwaltete Richtlinie: AmazonWorkSpacesAdmin – Richtlinie aktualisieren	WorkSpaces hat die `workspaces:RestoreWorkspace` Aktion zur von Amazon WorkSpacesAdmin verwalteten Richtlinie hinzugefügt und Administratoren Zugriff auf die Wiederherstellung WorkSpaces gewährt.	25. Juni 2023
AWS verwaltete Richtlinie: AmazonWorkspaces PCAAccess – Neue Richtlinie hinzugefügt.	WorkSpaces hat eine neue verwaltete Richtlinie hinzugefügt, um der Verwaltung von AWS Private CA die `acm-pca` Berechtigung zur Verwaltung der zertifikatsbasierten Authentifizierung zu erteilen.	18. November 2022
WorkSpaces hat begonnen, Änderungen zu verfolgen	WorkSpaces hat begonnen, Änderungen für die WorkSpaces verwalteten Richtlinien zu verfolgen.	1. März 2021

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Identity and Access Management

Zugriff auf WorkSpaces und Skripte auf Streaming-Instances