Beispielrichtlinien Geben Sie WorkSpaces Ressourcen in einer IAM Richtlinie an Erstellen Sie die Rolle workspaces_ DefaultRole AmazonWorkSpacesPCAAccess-Servicerolle erstellen

Identitäts- und Zugriffsmanagement für WorkSpaces

Standardmäßig haben IAM Benutzer keine Berechtigungen für WorkSpaces Ressourcen und Vorgänge. Damit IAM Benutzer WorkSpaces Ressourcen verwalten können, müssen Sie eine IAM Richtlinie erstellen, die ihnen ausdrücklich Berechtigungen gewährt, und die Richtlinie den IAM Benutzern oder Gruppen zuordnen, die diese Berechtigungen benötigen.

Anmerkung

Amazon unterstützt WorkSpaces nicht die Bereitstellung von IAM Anmeldeinformationen in einem WorkSpace (z. B. mit einem Instance-Profil).

Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:

Benutzer und Gruppen in AWS IAM Identity Center:

Erstellen Sie einen Berechtigungssatz. Befolgen Sie die Anweisungen unter Erstellen eines Berechtigungssatzes im AWS IAM Identity Center -Benutzerhandbuch.
Benutzer, IAM die über einen Identitätsanbieter verwaltet werden:

Erstellen Sie eine Rolle für den Identitätsverbund. Folgen Sie den Anweisungen unter Erstellen einer Rolle für einen externen Identitätsanbieter (Verband) im IAMBenutzerhandbuch.
IAMBenutzer:
- Erstellen Sie eine Rolle, die Ihr Benutzer annehmen kann. Folgen Sie den Anweisungen unter Eine Rolle für einen IAM Benutzer erstellen im IAMBenutzerhandbuch.
- (Nicht empfohlen) Weisen Sie einem Benutzer eine Richtlinie direkt zu oder fügen Sie einen Benutzer zu einer Benutzergruppe hinzu. Folgen Sie den Anweisungen unter Hinzufügen von Berechtigungen für einen Benutzer (Konsole) im IAMBenutzerhandbuch.

Im Folgenden finden Sie zusätzliche Ressourcen fürIAM:

Weitere Informationen zu IAM Richtlinien finden Sie unter Richtlinien und Berechtigungen im IAMBenutzerhandbuch.
Weitere Informationen zu IAM finden Sie unter Identity and Access Management (IAM) und im IAMBenutzerhandbuch.
Weitere Informationen zu WorkSpaces spezifischen Ressourcen, Aktionen und Bedingungskontextschlüsseln zur Verwendung in IAM Berechtigungsrichtlinien finden Sie WorkSpaces im IAMBenutzerhandbuch unter Aktionen, Ressourcen und Bedingungsschlüssel für Amazon.
Ein Tool, das Ihnen bei der Erstellung von IAM Richtlinien hilft, finden Sie im AWS Policy Generator. Sie können den IAMRichtliniensimulator auch verwenden, um zu testen, ob eine Richtlinie eine bestimmte Anfrage zulässt oder ablehnt AWS.

Inhalt

Beispielrichtlinien
Geben Sie WorkSpaces Ressourcen in einer IAM Richtlinie an
Erstellen Sie die Rolle workspaces_ DefaultRole
AmazonWorkSpacesPCAAccess-Servicerolle erstellen
AWS verwaltete Richtlinien für WorkSpaces
Zugriff auf WorkSpaces und Skripte auf Streaming-Instances

Beispielrichtlinien

Die folgenden Beispiele zeigen Richtlinienerklärungen, mit denen Sie die Berechtigungen kontrollieren können, die IAM Benutzer für Amazon haben WorkSpaces.

Die folgende Richtlinienerklärung gewährt einem IAM Benutzer die Erlaubnis, WorkSpaces persönliche Aufgaben und Pool-Aufgaben auszuführen.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ds:*",
                "workspaces:*",
                "application-autoscaling:DeleteScalingPolicy",
                "application-autoscaling:DeleteScheduledAction",
                "application-autoscaling:DeregisterScalableTarget",
                "application-autoscaling:DescribeScalableTargets",
                "application-autoscaling:DescribeScalingActivities",
                "application-autoscaling:DescribeScalingPolicies",
                "application-autoscaling:DescribeScheduledActions",
                "application-autoscaling:PutScalingPolicy",
                "application-autoscaling:PutScheduledAction",
                "application-autoscaling:RegisterScalableTarget",
                "cloudwatch:DeleteAlarms",
                "cloudwatch:DescribeAlarms",
                "cloudwatch:PutMetricAlarm",
                "ec2:AssociateRouteTable",
                "ec2:AttachInternetGateway",
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:CreateInternetGateway",
                "ec2:CreateNetworkInterface",
                "ec2:CreateRoute",
                "ec2:CreateRouteTable",
                "ec2:CreateSecurityGroup",
                "ec2:CreateSubnet",
                "ec2:CreateTags",
                "ec2:CreateVpc",
                "ec2:DeleteNetworkInterface",
                "ec2:DeleteSecurityGroup",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeInternetGateways",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeRouteTables",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "ec2:RevokeSecurityGroupEgress",
                "ec2:RevokeSecurityGroupIngress",
                "iam:AttachRolePolicy",
                "iam:CreatePolicy",
                "iam:CreateRole",
                "iam:GetRole",
                "iam:ListRoles",
                "iam:PutRolePolicy",
                "kms:ListAliases",
                "kms:ListKeys",
                "secretsmanager:ListSecrets",
                "tag:GetResources",
                "workdocs:AddUserToGroup",
                "workdocs:DeregisterDirectory",
                "workdocs:RegisterDirectory",
                "sso-directory:SearchUsers",
                "sso:CreateApplication",
                "sso:DeleteApplication",
                "sso:DescribeApplication",
                "sso:DescribeInstance",
                "sso:GetApplicationGrant",
                "sso:ListInstances",
                "sso:PutApplicationAssignment",
                "sso:PutApplicationAssignmentConfiguration",
                "sso:PutApplicationAuthenticationMethod",
                "sso:PutApplicationGrant"
            ],
            "Resource": "*"
        },
        {
            "Sid": "iamPassRole",
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "workspaces.amazonaws.com"
                }
            }
        }
    ]
}

Die folgende Richtlinienerklärung gewährt einem IAM Benutzer die Erlaubnis, alle WorkSpaces persönlichen Aufgaben auszuführen.

Obwohl Amazon die Resource Elemente Action und bei der Verwendung der Befehlszeilentools API und WorkSpaces vollständig unterstützt, muss ein IAM Benutzer über Berechtigungen für die folgenden Aktionen und Ressourcen verfügen AWS Management Console, um Amazon WorkSpaces von der aus verwenden zu können:

Aktionen: „workspaces:*" und "ds:*"
Ressourcen: "Resource": "*"

Die folgende Beispielrichtlinie zeigt, wie Sie es einem IAM Benutzer ermöglichen, Amazon WorkSpaces von der aus zu verwenden AWS Management Console.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "workspaces:*",
        "ds:*",
        "iam:GetRole",
        "iam:CreateRole",
        "iam:PutRolePolicy",
        "iam:CreatePolicy",
        "iam:AttachRolePolicy",
        "iam:ListRoles",
        "kms:ListAliases",
        "kms:ListKeys",
        "ec2:CreateVpc",
        "ec2:CreateSubnet",
        "ec2:CreateNetworkInterface",
        "ec2:CreateInternetGateway",
        "ec2:CreateRouteTable",
        "ec2:CreateRoute",
        "ec2:CreateTags",
        "ec2:CreateSecurityGroup",
        "ec2:DescribeInternetGateways",
        "ec2:DescribeSecurityGroups",
        "ec2:DescribeRouteTables",
        "ec2:DescribeVpcs",
        "ec2:DescribeSubnets",
        "ec2:DescribeNetworkInterfaces",
        "ec2:DescribeAvailabilityZones",
        "ec2:AttachInternetGateway",
        "ec2:AssociateRouteTable",
        "ec2:AuthorizeSecurityGroupEgress",
        "ec2:AuthorizeSecurityGroupIngress",
        "ec2:DeleteSecurityGroup",
        "ec2:DeleteNetworkInterface",
        "ec2:RevokeSecurityGroupEgress",
        "ec2:RevokeSecurityGroupIngress",
        "workdocs:RegisterDirectory",
        "workdocs:DeregisterDirectory",
        "workdocs:AddUserToGroup",
        "secretsmanager:ListSecrets",
        "sso-directory:SearchUsers",
        "sso:CreateApplication",
        "sso:DeleteApplication",
        "sso:DescribeApplication",
        "sso:DescribeInstance",
        "sso:GetApplicationGrant",
        "sso:ListInstances",
        "sso:PutApplicationAssignment",
        "sso:PutApplicationAssignmentConfiguration",
        "sso:PutApplicationAuthenticationMethod",
        "sso:PutApplicationGrant"
      ],
      "Resource": "*"
    },
    {
      "Sid": "iamPassRole",
      "Effect": "Allow",
      "Action": "iam:PassRole",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "iam:PassedToService": "workspaces.amazonaws.com"
        }
      }
    }
  ]
}

Die folgende Richtlinienanweisung gewährt einem IAM Benutzer die Berechtigung, alle WorkSpaces Pools-Aufgaben auszuführen.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "workspaces:*",
                "application-autoscaling:DeleteScalingPolicy",
                "application-autoscaling:DeleteScheduledAction",
                "application-autoscaling:DeregisterScalableTarget",
                "application-autoscaling:DescribeScalableTargets",
                "application-autoscaling:DescribeScalingActivities",
                "application-autoscaling:DescribeScalingPolicies",
                "application-autoscaling:DescribeScheduledActions",
                "application-autoscaling:PutScalingPolicy",
                "application-autoscaling:PutScheduledAction",
                "application-autoscaling:RegisterScalableTarget",
                "cloudwatch:DeleteAlarms",
                "cloudwatch:DescribeAlarms",
                "cloudwatch:PutMetricAlarm",
                "ec2:CreateSecurityGroup",
                "ec2:CreateTags",
                "ec2:DescribeInternetGateways",
                "ec2:DescribeRouteTables",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "iam:AttachRolePolicy",
                "iam:CreatePolicy",
                "iam:CreateRole",
                "iam:GetRole",
                "iam:ListRoles",
                "iam:PutRolePolicy",
                "secretsmanager:ListSecrets",
                "tag:GetResources"
            ],
            "Resource": "*"
        },
        {
            "Sid": "iamPassRole",
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "workspaces.amazonaws.com"
                }
            }
        }
        {
            "Action": "iam:CreateServiceLinkedRole",
            "Effect": "Allow",
            "Resource": "arn:aws:iam::*:role/aws-service-role/workspaces.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_WorkSpacesPool",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "workspaces.application-autoscaling.amazonaws.com"
                }
            }
        }
    ]
}

Die folgende Grundsatzerklärung gewährt einem IAM Benutzer die Erlaubnis, alle WorkSpaces Aufgaben auszuführen, einschließlich der EC2 Amazon-Aufgaben, die für die Erstellung von Bring Your Own License (BYOL) erforderlich sind WorkSpaces.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ds:*",
                "workspaces:*",
                "ec2:AssociateRouteTable",
                "ec2:AttachInternetGateway",
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:CreateInternetGateway",
                "ec2:CreateNetworkInterface",
                "ec2:CreateRoute",
                "ec2:CreateRouteTable",
                "ec2:CreateSecurityGroup",
                "ec2:CreateSubnet",
                "ec2:CreateTags",
                "ec2:CreateVpc",
                "ec2:DeleteNetworkInterface",
                "ec2:DeleteSecurityGroup",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeImages",
                "ec2:DescribeInternetGateways",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeRouteTables",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "ec2:ModifyImageAttribute",
                "ec2:RevokeSecurityGroupEgress",
                "ec2:RevokeSecurityGroupIngress",
                "iam:CreateRole",
                "iam:GetRole",
                "iam:PutRolePolicy",
                "kms:ListAliases",
                "kms:ListKeys",
                "workdocs:AddUserToGroup",
                "workdocs:DeregisterDirectory",
                "workdocs:RegisterDirectory"
            ],
            "Resource": "*"
        },
        {
            "Sid": "iamPassRole",
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "workspaces.amazonaws.com"
                }
            }
        }
    ]
}

Geben Sie WorkSpaces Ressourcen in einer IAM Richtlinie an

Um eine WorkSpaces Ressource im Resource Element der Richtlinienerklärung anzugeben, verwenden Sie den Amazon-Ressourcennamen (ARN) der Ressource. Sie kontrollieren den Zugriff auf Ihre WorkSpaces Ressourcen, indem Sie entweder die Erlaubnis zur Nutzung der API Aktionen gewähren oder verweigern, die im Action Element Ihrer IAM Richtlinienerklärung angegeben sind. WorkSpaces definiert ARNs für WorkSpaces, Bundles, IP-Gruppen und Verzeichnisse.

A WorkSpace ARN hat die im folgenden Beispiel gezeigte Syntax.


arn:aws:workspaces:region:account_id:workspace/workspace_identifier

Region: Die Region, in der WorkSpace sich der befindet (z. B.us-east-1).
account_id: Die ID des AWS Kontos ohne Bindestriche (z. B.123456789012).
workspace_identifier: Die ID des WorkSpace (zum Beispiel). ws-a1bcd2efg

Im Folgenden finden Sie das Format des Resource Elements einer Grundsatzerklärung, das ein bestimmtes Element identifiziert WorkSpace.


"Resource": "arn:aws:workspaces:region:account_id:workspace/workspace_identifier"

Sie können den * Platzhalter verwenden, um alle Daten anzugeben WorkSpaces , die zu einem bestimmten Konto in einer bestimmten Region gehören.

Ein WorkSpace Pool ARN hat die im folgenden Beispiel gezeigte Syntax.


arn:aws:workspaces:region:account_id:workspacespool/workspacespool_identifier

Region: Die Region, in der WorkSpace sich der befindet (z. B.us-east-1).
account_id: Die ID des AWS Kontos ohne Bindestriche (z. B.123456789012).
workspacespool_identifier: Die ID des WorkSpace Pools (zum Beispiel). ws-a1bcd2efg

Im Folgenden finden Sie das Format des Resource Elements einer Richtlinienerklärung, das ein bestimmtes Element identifiziert WorkSpace.


"Resource": "arn:aws:workspaces:region:account_id:workspacespool/workspacespool_identifier"

Sie können den * Platzhalter verwenden, um alle Daten anzugeben WorkSpaces , die zu einem bestimmten Konto in einer bestimmten Region gehören.

Ein WorkSpace Bild ARN hat die im folgenden Beispiel gezeigte Syntax.


arn:aws:workspaces:region:account_id:workspaceimage/image_identifier

Region: Die Region, in der sich das WorkSpace Bild befindet (z. B.us-east-1).
account_id: Die ID des AWS Kontos ohne Bindestriche (z. B.123456789012).
bundle_identifier: Die ID des WorkSpace Bilds (zum Beispiel). wsi-a1bcd2efg

Das Resource-Element einer Richtlinienanweisung, das ein spezifisches Paket identifiziert, weist das folgende Format auf.


"Resource": "arn:aws:workspaces:region:account_id:workspaceimage/image_identifier"

Sie können den Platzhalter * verwenden, um alle WorkSpaces-Abbilder anzugeben, die zu einem bestimmten Konto in einer bestimmten Region gehören.

Ein Bundle ARN hat die im folgenden Beispiel gezeigte Syntax.


arn:aws:workspaces:region:account_id:workspacebundle/bundle_identifier

Region: Die Region, in der WorkSpace sich der befindet (z. B.us-east-1).
account_id: Die ID des AWS Kontos ohne Bindestriche (z. B.123456789012).
bundle_identifier: Die ID des WorkSpace Bundles (zum Beispiel). wsb-a1bcd2efg

Das Resource-Element einer Richtlinie, das ein spezifisches Bundle identifiziert, weist das folgende Format auf.


"Resource": "arn:aws:workspaces:region:account_id:workspacebundle/bundle_identifier"

Sie können den Platzhalter * verwenden, um alle Pakete anzugeben, die zu einem bestimmten Konto in einer bestimmten Region gehören.

Eine IP-Gruppe ARN hat die im folgenden Beispiel gezeigte Syntax.


arn:aws:workspaces:region:account_id:workspaceipgroup/ipgroup_identifier

Region: Die Region, in der WorkSpace sich der befindet (z. B.us-east-1).
account_id: Die ID des AWS Kontos ohne Bindestriche (z. B.123456789012).
ipgroup_identifier: Die ID der IP-Gruppe (z. B. wsipg-a1bcd2efg).

Das Resource-Element einer Richtlinie, das eine bestimmte IP-Gruppe identifiziert, weist das folgende Format auf.


"Resource": "arn:aws:workspaces:region:account_id:workspaceipgroup/ipgroup_identifier"

Sie können den Platzhalter * verwenden, um alle IP-Gruppen anzugeben, die zu einem bestimmten Konto in einer bestimmten Region gehören.

Ein Verzeichnis ARN hat die im folgenden Beispiel gezeigte Syntax.


arn:aws:workspaces:region:account_id:directory/directory_identifier

Region: Die Region, in der WorkSpace sich der befindet (z. B.us-east-1).
account_id: Die ID des AWS Kontos ohne Bindestriche (z. B.123456789012).
directory_identifier: Die ID des Verzeichnisses (z. B. d-12345a67b8).

Das Resource-Element einer Richtlinie, das eine bestimmte Richtlinienanweisung identifiziert, weist das folgende Format auf.


"Resource": "arn:aws:workspaces:region:account_id:directory/directory_identifier"

Sie können den Platzhalter * verwenden, um alle Verzeichnisse anzugeben, die zu einem bestimmten Konto in einer bestimmten Region gehören.

Ein Verbindungsalias ARN hat die im folgenden Beispiel gezeigte Syntax.


arn:aws:workspaces:region:account_id:connectionalias/connectionalias_identifier

Region: Die Region, in der sich der Verbindungsalias befindet (z. B. us-east-1).
account_id: Die ID des AWS Kontos ohne Bindestriche (z. B.123456789012).
connectionalias_identifier: Die ID des Verbindungsalias (z. B. wsca-12345a67b8).

Das Resource-Element einer Richtlinienanweisung, das einen bestimmten Verbindungsalias angibt, weist das folgende Format auf.


"Resource": "arn:aws:workspaces:region:account_id:connectionalias/connectionalias_identifier"

Sie können den Platzhalter * verwenden, um alle Verbindungsaliase anzugeben, die zu einem bestimmten Konto in einer bestimmten Region gehören.

Sie können keine Ressource ARN mit den folgenden API Aktionen angeben:

AssociateIpGroups
CreateIpGroup
CreateTags
DeleteTags
DeleteWorkspaceImage
DescribeAccount
DescribeAccountModifications
DescribeIpGroups
DescribeTags
DescribeWorkspaceDirectories
DescribeWorkspaceImages
DescribeWorkspaces
DescribeWorkspacesConnectionStatus
DisassociateIpGroups
ImportWorkspaceImage
ListAvailableManagementCidrRanges
ModifyAccount

Für API Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, müssen Sie die im folgenden Beispiel gezeigte Ressourcenanweisung angeben.


"Resource": "*"

Für die folgenden API Aktionen können Sie keine Konto-ID in der Ressource angeben, ARN wenn die Ressource nicht dem Konto gehört:

AssociateConnectionAlias
CopyWorkspaceImage
DisassociateConnectionAlias

Für diese API Aktionen können Sie ARN nur dann eine Konto-ID in der Ressource angeben, wenn das Konto Eigentümer der Ressourcen ist, auf die reagiert werden soll. Wenn das Konto nicht Besitzer der Ressourcen ist, müssen Sie, wie im folgenden Beispiel veranschaulicht, für das Konto den Wert * angeben.


"arn:aws:workspaces:region:*:resource_type/resource_identifier"

Erstellen Sie die Rolle workspaces_ DefaultRole

Bevor Sie ein Verzeichnis mit dem registrieren können, müssen Sie sicherstellenAPI, dass eine Rolle mit dem Namen existiert. workspaces_DefaultRole Diese Rolle wird durch das Quick Setup oder wenn Sie eine WorkSpace mit dem starten AWS Management Console, erstellt und gewährt Amazon die WorkSpaces Erlaubnis, in Ihrem Namen auf bestimmte AWS Ressourcen zuzugreifen. Wenn diese Rolle nicht existiert, können Sie sie auf folgende Weise erstellen.

Um die Rolle DefaultRole workspaces_ zu erstellen

Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM Konsole unter. https://console.aws.amazon.com/iam/
Wählen Sie im Navigationsbereich auf der linken Seite Roles (Rollen).
Wählen Sie Rolle erstellen.
Wählen Sie unter Typ der vertrauenswürdigen Entität auswählen die Option Weiteres AWS -Konto aus.
Geben Sie für Account ID (Konto-ID) Ihre Konto-ID ohne Bindestriche oder Leerzeichen ein.
Geben Sie für Optionen keine Multi-Faktor-Authentifizierung (MFA) an.
Wählen Sie Weiter: Berechtigungen aus.
Wählen Sie auf der Seite „Berechtigungsrichtlinien anhängen“ die AWS verwalteten Richtlinien AmazonWorkSpacesServiceAccessAmazonWorkSpacesSelfServiceAccess, und AmazonWorkSpacesPoolServiceAccessaus. Weitere Informationen zu diesen verwalteten Richtlinien finden Sie unterAWS verwaltete Richtlinien für WorkSpaces.
Es wird empfohlen, unter Berechtigungsgrenze festlegen keine Berechtigungsgrenze zu verwenden, da Konflikte mit den Richtlinien auftreten können, die der Rolle workspaces_DefaultRole zugeordnet sind. Solche Konflikte könnten bestimmte erforderliche Berechtigungen für die Rolle blockieren.
Wählen Sie Weiter: Markierungen.
Fügen Sie auf der Seite Add tags (optional) (Tags hinzufügen (optional)) Tags hinzu, sofern erforderlich.
Wählen Sie Weiter: Prüfen aus.
Geben Sie auf der Seite Review (Überprüfen) für Role name (Rollenname) workspaces_DefaultRole ein.
(Optional) Geben Sie im Feld Role description (Rollenbeschreibung) eine Beschreibung ein.
Wählen Sie Create Role aus.
Wählen Sie auf der Übersichtsseite für die DefaultRole Rolle workspaces_ die Registerkarte Vertrauensbeziehungen aus.
Wählen Sie auf der Registerkarte Trust relationships (Vertrauensstellungen) die Option Edit trust relationship (Vertrauensstellung bearbeiten).

Ersetzen Sie auf der Seite Edit Trust Relationship (Vertrauensstellung bearbeiten) die vorhandene Richtlinienanweisung durch die folgende Anweisung.


{
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "workspaces.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Wählen Sie Update Trust Policy (Trust Policy aktualisieren).

AmazonWorkSpacesPCAAccess-Servicerolle erstellen

Bevor sich Benutzer mit zertifikatbasierter Authentifizierung anmelden können, müssen Sie überprüfen, ob eine Rolle mit dem Namen AmazonWorkSpacesPCAAccess existiert. Diese Rolle wird erstellt, wenn Sie die zertifikatsbasierte Authentifizierung in einem Verzeichnis mithilfe von aktivieren AWS Management Console, und sie erteilt Amazon die WorkSpaces Erlaubnis, in Ihrem Namen auf AWS Private CA Ressourcen zuzugreifen. Wenn diese Rolle nicht existiert, weil Sie die Konsole nicht zur Verwaltung der zertifikatbasierten Authentifizierung verwenden, können Sie sie mit dem folgenden Verfahren erstellen.

Um die AmazonWorkSpaces PCAAccess Servicerolle mit dem zu erstellen AWS CLI

Erstellen Sie eine JSON Datei AmazonWorkSpacesPCAAccess.json mit dem folgenden Text.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "prod.euc.ecm.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Passen Sie den AmazonWorkSpacesPCAAccess.json Pfad nach Bedarf an und führen Sie die folgenden AWS CLI Befehle aus, um die Servicerolle zu erstellen und die AmazonWorkspacesPCAAccessverwaltete Richtlinie anzuhängen.


aws iam create-role --path /service-role/ --role-name AmazonWorkSpacesPCAAccess --assume-role-policy-document file://AmazonWorkSpacesPCAAccess.json


aws iam attach-role-policy —role-name AmazonWorkSpacesPCAAccess —policy-arn arn:aws:iam::aws:policy/AmazonWorkspacesPCAAccess

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Datenschutz

AWS verwaltete Richtlinien für WorkSpaces