Beispielrichtlinien Angeben von WorkSpaces-Ressourcen in einer IAM-Richtlinie Erstellen der Rolle workspaces_DefaultRole Erstellen der Servicerolle AmazonWorkSpacesPCAAccess

Identitäts- und Zugriffsverwaltung für WorkSpaces

Standardmäßig haben IAM-Benutzer keine Berechtigungen für WorkSpaces-Ressourcen und -Vorgänge. Um IAM-Benutzern die Verwaltung von WorkSpaces-Ressourcen zu ermöglichen, erstellen Sie eine IAM-Richtlinie, die diesen ausdrücklich Berechtigungen erteilt. Anschließend fügen Sie die Richtlinie den IAM-Benutzern oder -Gruppen an, die diese Berechtigungen benötigen.

Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:

Benutzer und Gruppen in AWS IAM Identity Center:

Erstellen Sie einen Berechtigungssatz. Befolgen Sie die Anweisungen unter Erstellen eines Berechtigungssatzes im AWS IAM Identity Center-Benutzerhandbuch.
Benutzer, die in IAM über einen Identitätsanbieter verwaltet werden:

Erstellen Sie eine Rolle für den Identitätsverbund. Befolgen Sie die Anweisungen unter Erstellen einer Rolle für einen externen Identitätsanbieter (Verbund) im IAM-Benutzerhandbuch.
IAM-Benutzer:
- Erstellen Sie eine Rolle, die Ihr Benutzer annehmen kann. Folgen Sie den Anweisungen unter Erstellen einer Rolle für einen IAM-Benutzer im IAM-Benutzerhandbuch.
- (Nicht empfohlen) Weisen Sie einem Benutzer eine Richtlinie direkt zu oder fügen Sie einen Benutzer zu einer Benutzergruppe hinzu. Befolgen Sie die Anweisungen unter Hinzufügen von Berechtigungen zu einem Benutzer (Konsole) im IAM-Benutzerhandbuch.

Weitere allgemeine Informationen zu IAM-Richtlinien finden Sie unter Berechtigungen und Richtlinien im IAM-Benutzerhandbuch.

WorkSpaces erstellt auch eine IAM-Rolle (workspaces_DefaultRole), die dem WorkSpaces-Service den Zugriff auf die erforderlichen Ressourcen ermöglicht.

Weitere Informationen über IAM finden Sie unter Identity and Access Management (IAM) und im IAM-Benutzerhandbuch. Sie finden die WorkSpaces-spezifischen Ressourcen, Aktionen und Bedingungskontextschlüssel für die Verwendung in IAM-Berechtigungsrichtlinien unter Aktionen, Ressourcen und Bedingungsschlüssel für Amazon WorkSpaces im IAM-Benutzerhandbuch.

Ein Tool, mit dem Sie IAM-Richtlinien erstellen können, finden Sie im AWS Policy Generator. Sie können außerdem den IAM-Richtliniensimulator verwenden, um zu testen, ob eine Richtlinie eine bestimmte Anforderung an AWS zulässt oder verweigert.

Anmerkung

Amazon WorkSpaces unterstützt nicht die Bereitstellung von IAM-Anmeldeinformationen in einem WorkSpace (wie z. B. bei einem Instance-Profil).

Inhalt

Beispielrichtlinien
Angeben von WorkSpaces-Ressourcen in einer IAM-Richtlinie
Erstellen der Rolle workspaces_DefaultRole
Erstellen der Servicerolle AmazonWorkSpacesPCAAccess
Von AWS verwaltete Richtlinien für WorkSpaces

Beispielrichtlinien

Die folgenden Beispiele veranschaulichen Richtlinienanweisungen, mit denen Sie die Berechtigungen, die IAM-Benutzer für Amazon WorkSpaces haben, kontrollieren können.

Beispiel 1: Alle WorkSpaces-Aufgaben ausführen

Mit der folgenden Richtlinienanweisung werden IAM-Benutzer zum Ausführen aller WorkSpaces-Aufgaben berechtigt, einschließlich Erstellen und Verwalten von Verzeichnissen. Es erteilt auch die Berechtigung zum Ausführen der Schnellinstallationsprozedur.

Obwohl Amazon WorkSpaces die Elemente Action und AWS Management Console bei der Verwendung der API und der Befehlszeilentools vollständig unterstützt, müssen die IAM-Benutzer über Berechtigungen für die folgenden Aktionen und Ressourcen verfügen, um Amazon WorkSpaces von Resource aus verwenden zu können:

Aktionen: „workspaces:*" und "ds:*"
Ressourcen: "Resource": "*"

Die folgende Beispielrichtlinie zeigt, wie Sie IAM-Benutzern die Verwendung von Amazon WorkSpaces aus AWS Management Console ermöglichen.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "workspaces:*",
        "ds:*",
        "iam:GetRole",
        "iam:CreateRole",
        "iam:PutRolePolicy",
        "iam:CreatePolicy",
        "iam:AttachRolePolicy",
        "iam:ListRoles",
        "kms:ListAliases",
        "kms:ListKeys",
        "ec2:CreateVpc",
        "ec2:CreateSubnet",
        "ec2:CreateNetworkInterface",
        "ec2:CreateInternetGateway",
        "ec2:CreateRouteTable",
        "ec2:CreateRoute",
        "ec2:CreateTags",
        "ec2:CreateSecurityGroup",
        "ec2:DescribeInternetGateways",
        "ec2:DescribeSecurityGroups",
        "ec2:DescribeRouteTables",
        "ec2:DescribeVpcs",
        "ec2:DescribeSubnets",
        "ec2:DescribeNetworkInterfaces",
        "ec2:DescribeAvailabilityZones",
        "ec2:AttachInternetGateway",
        "ec2:AssociateRouteTable",
        "ec2:AuthorizeSecurityGroupEgress",
        "ec2:AuthorizeSecurityGroupIngress",
        "ec2:DeleteSecurityGroup",
        "ec2:DeleteNetworkInterface",
        "ec2:RevokeSecurityGroupEgress",
        "ec2:RevokeSecurityGroupIngress",
        "workdocs:RegisterDirectory",
        "workdocs:DeregisterDirectory",
        "workdocs:AddUserToGroup"
      ],
      "Resource": "*"
    },
    {
      "Sid": "iamPassRole",
      "Effect": "Allow",
      "Action": "iam:PassRole",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "iam:PassedToService": "workspaces.amazonaws.com"
        }
      }
    }
  ]
}

Beispiel 2: Führen Sie WorkSpace-spezifische Aufgaben durch

Die folgende Richtlinie erteilt IAM-Benutzern die Berechtigung zum Ausführen von WorkSpace-Aufgaben wie das Starten und Entfernen von WorkSpaces. In der Richtlinienanweisung gewährt die Aktion ds:* umfassende Berechtigungen, d. h. vollständige Kontrolle über alle Verzeichnisdienstobjekte des Kontos.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "workspaces:*",
        "ds:*",
        "iam:PutRolePolicy"
      ],
      "Resource": "*"
    }
  ]
}

Fügen Sie die workdocs-Operationen wie im folgenden Beispiel dargestellt hinzu, um Benutzern auch die Möglichkeit zu gewähren, Amazon WorkDocs für Benutzer innerhalb von WorkSpaces zu aktivieren.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "workspaces:*",
        "ds:*",
        "workdocs:AddUserToGroup"
      ],
      "Resource": "*"
    }
  ]
}

Damit der Benutzer den Launch WorkSpaces-Assistenten verwenden kann, fügen Sie die im folgenden Beispiel dargestellten kms-Operationen hinzu.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "workspaces:*",
        "ds:*",
        "workdocs:AddUserToGroup",
        "kms:ListAliases",
        "kms:ListKeys"
      ],
      "Resource": "*"
    }
  ]
}

Beispiel 3: Ausführen aller WorkSpaces-Aufgaben für BYOL-WorkSpaces

Die folgende Richtlinienanweisung gewährt einem IAM-Benutzer die Erlaubnis, alle WorkSpaces-Aufgaben auszuführen, einschließlich der Amazon-EC2-Aufgaben, die für die Erstellung von Bring-Your-Own-License (BYOL)-WorkSpaces erforderlich sind.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "workspaces:*",
        "ds:*",
        "iam:GetRole",
        "iam:CreateRole",
        "iam:PutRolePolicy",
        "kms:ListAliases",
        "kms:ListKeys",
        "ec2:CreateVpc",
        "ec2:CreateSubnet",
        "ec2:CreateNetworkInterface",
        "ec2:CreateInternetGateway",
        "ec2:CreateRouteTable",
        "ec2:CreateRoute",
        "ec2:CreateTags",
        "ec2:CreateSecurityGroup",
        "ec2:DescribeImages",
        "ec2:ModifyImageAttribute",
        "ec2:DescribeInternetGateways",
        "ec2:DescribeSecurityGroups",
        "ec2:DescribeRouteTables",
        "ec2:DescribeVpcs",
        "ec2:DescribeSubnets",
        "ec2:DescribeNetworkInterfaces",
        "ec2:DescribeAvailabilityZones",
        "ec2:AttachInternetGateway",
        "ec2:AssociateRouteTable",
        "ec2:AuthorizeSecurityGroupEgress",
        "ec2:AuthorizeSecurityGroupIngress",
        "ec2:DeleteSecurityGroup",
        "ec2:DeleteNetworkInterface",
        "ec2:RevokeSecurityGroupEgress",
        "ec2:RevokeSecurityGroupIngress",
        "workdocs:RegisterDirectory",
        "workdocs:DeregisterDirectory",
        "workdocs:AddUserToGroup"
      ],
      "Resource": "*"
    },
    {
      "Sid": "iamPassRole",
      "Effect": "Allow",
      "Action": "iam:PassRole",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "iam:PassedToService": "workspaces.amazonaws.com"
        }
      }
    }
  ]
}

Angeben von WorkSpaces-Ressourcen in einer IAM-Richtlinie

Verwenden Sie den Amazon-Ressourcenname (ARN) der Ressource, um eine WorkSpaces-Ressource im Resource-Element der Richtlinie festzulegen. Sie kontrollieren den Zugriff auf Ihre WorkSpaces-Ressourcen, indem Sie die Berechtigungen zur Verwendung von im Action-Element Ihrer IAM-Richtlinienanweisung festgelegten API-Aktionen entweder erteilen oder verweigern. WorkSpaces definiert ARNs für WorkSpaces, Pakete, IP-Gruppen und Verzeichnisse.

WorkSpace-ARN

Ein WorkSpace-ARN besitzt die im folgenden Beispiel gezeigte Syntax.


arn:aws:workspaces:region:account_id:workspace/workspace_identifier

region: Die Region, in der sich der WorkSpace befindet (z. B. us-east-1).
account_id: Die ID des AWS-Kontos ohne Bindestriche (z. B. 123456789012)
workspace_identifier: Die ID für den WorkSpace (z. B. ws-a1bcd2efg).

Das Resource-Element einer Richtlinie, das einen bestimmten WorkSpace identifiziert, weist das folgende Format auf.


"Resource": "arn:aws:workspaces:region:account_id:workspace/workspace_identifier"

Sie können den Platzhalter * verwenden, um alle WorkSpaces anzugeben, die zu einem bestimmten Konto in einer bestimmten Region gehören.

Abbild-ARN

Ein WorkSpace-Abbild-ARN besitzt die im folgenden Beispiel gezeigte Syntax.


arn:aws:workspaces:region:account_id:workspaceimage/image_identifier

region: Die Region, in der sich das WorkSpace-Abbild befindet (z. B. us-east-1).
account_id: Die ID des AWS-Kontos ohne Bindestriche (z. B. 123456789012)
bundle_identifier: Die ID für das WorkSpace-Abbild (z. B. wsi-a1bcd2efg).

Das Resource-Element einer Richtlinienanweisung, das ein spezifisches Paket identifiziert, weist das folgende Format auf.


"Resource": "arn:aws:workspaces:region:account_id:workspaceimage/image_identifier"

Sie können den Platzhalter * verwenden, um alle WorkSpaces-Abbilder anzugeben, die zu einem bestimmten Konto in einer bestimmten Region gehören.

Bundle-ARN

Ein Bundle-ARN besitzt die im folgenden Beispiel gezeigte Syntax.


arn:aws:workspaces:region:account_id:workspacebundle/bundle_identifier

region: Die Region, in der sich der WorkSpace befindet (z. B. us-east-1).
account_id: Die ID des AWS-Kontos ohne Bindestriche (z. B. 123456789012)
bundle_identifier: Die ID für das WorkSpace-Paket (z. B. wsb-a1bcd2efg).

Das Resource-Element einer Richtlinie, das ein spezifisches Bundle identifiziert, weist das folgende Format auf.


"Resource": "arn:aws:workspaces:region:account_id:workspacebundle/bundle_identifier"

Sie können den Platzhalter * verwenden, um alle Pakete anzugeben, die zu einem bestimmten Konto in einer bestimmten Region gehören.

ARN der IP-Gruppe

Ein IP-Gruppen-ARN besitzt die im folgenden Beispiel gezeigte Syntax.


arn:aws:workspaces:region:account_id:workspaceipgroup/ipgroup_identifier

region: Die Region, in der sich der WorkSpace befindet (z. B. us-east-1).
account_id: Die ID des AWS-Kontos ohne Bindestriche (z. B. 123456789012)
ipgroup_identifier: Die ID der IP-Gruppe (z. B. wsipg-a1bcd2efg).

Das Resource-Element einer Richtlinie, das eine bestimmte IP-Gruppe identifiziert, weist das folgende Format auf.


"Resource": "arn:aws:workspaces:region:account_id:workspaceipgroup/ipgroup_identifier"

Sie können den Platzhalter * verwenden, um alle IP-Gruppen anzugeben, die zu einem bestimmten Konto in einer bestimmten Region gehören.

Verzeichnis-ARN

Ein Verzeichnis ARN besitzt die im folgenden Beispiel gezeigte Syntax.


arn:aws:workspaces:region:account_id:directory/directory_identifier

region: Die Region, in der sich der WorkSpace befindet (z. B. us-east-1).
account_id: Die ID des AWS-Kontos ohne Bindestriche (z. B. 123456789012)
directory_identifier: Die ID des Verzeichnisses (z. B. d-12345a67b8).

Das Resource-Element einer Richtlinie, das eine bestimmte Richtlinienanweisung identifiziert, weist das folgende Format auf.


"Resource": "arn:aws:workspaces:region:account_id:directory/directory_identifier"

Sie können den Platzhalter * verwenden, um alle Verzeichnisse anzugeben, die zu einem bestimmten Konto in einer bestimmten Region gehören.

Verbindungsalias-ARN

Ein Verbindungsalias-ARN besitzt die im folgenden Beispiel gezeigte Syntax.


arn:aws:workspaces:region:account_id:connectionalias/connectionalias_identifier

region: Die Region, in der sich der Verbindungsalias befindet (z. B. us-east-1).
account_id: Die ID des AWS-Kontos ohne Bindestriche (z. B. 123456789012)
connectionalias_identifier: Die ID des Verbindungsalias (z. B. wsca-12345a67b8).

Das Resource-Element einer Richtlinienanweisung, das einen bestimmten Verbindungsalias angibt, weist das folgende Format auf.


"Resource": "arn:aws:workspaces:region:account_id:connectionalias/connectionalias_identifier"

Sie können den Platzhalter * verwenden, um alle Verbindungsaliase anzugeben, die zu einem bestimmten Konto in einer bestimmten Region gehören.

API-Aktionen ohne Unterstützung für Berechtigungen auf Ressourcenebene

Mit den folgenden API-Aktionen können Sie keinen Ressourcen-ARN angeben:

AssociateIpGroups
CreateIpGroup
CreateTags
DeleteTags
DeleteWorkspaceImage
DescribeAccount
DescribeAccountModifications
DescribeIpGroups
DescribeTags
DescribeWorkspaceDirectories
DescribeWorkspaceImages
DescribeWorkspaces
DescribeWorkspacesConnectionStatus
DisassociateIpGroups
ImportWorkspaceImage
ListAvailableManagementCidrRanges
ModifyAccount

Bei API-Aktionen, die Berechtigungen auf Ressourcenebene nicht unterstützen, müssen Sie die Ressourcenanweisung wie im folgenden Beispiel dargestellt angeben.


"Resource": "*"

API-Aktionen, die Einschränkungen auf Kontoebene für gemeinsam genutzte Ressourcen nicht unterstützen

Für die folgenden API-Aktionen können Sie im Ressourcen-ARN keine Konto-ID angeben, wenn die Ressource nicht dem Konto gehört:

AssociateConnectionAlias
CopyWorkspaceImage
DisassociateConnectionAlias

Für diese API-Aktionen können Sie nur dann eine Konto-ID im Ressourcen-ARN angeben, wenn dieses Konto die Ressourcen besitzt, die verwendet werden sollen. Wenn das Konto nicht Besitzer der Ressourcen ist, müssen Sie, wie im folgenden Beispiel veranschaulicht, für das Konto den Wert * angeben.


"arn:aws:workspaces:region:*:resource_type/resource_identifier"

Erstellen der Rolle workspaces_DefaultRole

Bevor Sie ein Verzeichnis mithilfe der API registrieren können, müssen Sie überprüfen, ob eine Rolle mit dem Namen workspaces_DefaultRole existiert. Diese Rolle wird durch das Quick Setup, oder wenn Sie einen WorkSpace mit der AWS Management Console starten, erstellt und gewährt Amazon WorkSpaces die Berechtigung, in Ihrem Namen auf bestimmte AWS-Ressourcen zuzugreifen. Wenn diese Rolle nicht existiert, können Sie sie auf folgende Weise erstellen.

So erstellen Sie die Rolle workspaces_DefaultRole

Melden Sie sich bei der AWS Management Console an und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.
Wählen Sie im Navigationsbereich auf der linken Seite Roles (Rollen).
Wählen Sie Create role (Rolle erstellen) aus.
Wählen Sie unter Typ der vertrauenswürdigen Entität auswählen die Option Weiteres AWS-Konto aus.
Geben Sie für Account ID (Konto-ID) Ihre Konto-ID ohne Bindestriche oder Leerzeichen ein.
Geben Sie unter Options (Optionen) keine Multi-Faktor-Authentifizierung (MFA) an.
Wählen Sie Next: Permissions (Weiter: Berechtigungen) aus.
Wählen Sie auf der Seite Berechtigungsrichtlinien anhängen die verwalteten AWS-Richtlinien AmazonWorkSpacesServiceAccess und AmazonWorkSpacesesSelfServiceAccess aus.
Es wird empfohlen, unter Berechtigungsgrenze festlegen keine Berechtigungsgrenze zu verwenden, da Konflikte mit den Richtlinien auftreten können, die der Rolle workspaces_DefaultRole zugeordnet sind. Solche Konflikte könnten bestimmte erforderliche Berechtigungen für die Rolle blockieren.
Wählen Sie Next: Markierungen (Weiter: Markierungen).
Fügen Sie auf der Seite Add tags (optional) (Tags hinzufügen (optional)) Tags hinzu, sofern erforderlich.
Wählen Sie Weiter: Prüfen aus.
Geben Sie auf der Seite Review (Überprüfen) für Role name (Rollenname) workspaces_DefaultRole ein.
(Optional) Geben Sie im Feld Role description (Rollenbeschreibung) eine Beschreibung ein.
Wählen Sie Create Role aus.
Wählen Sie auf der Seite Summary (Zusammenfassung) für die Rolle workspaces_DefaultRole die Registerkarte Trust relationships (Vertrauensstellungen).
Wählen Sie auf der Registerkarte Trust relationships (Vertrauensstellungen) die Option Edit trust relationship (Vertrauensstellung bearbeiten).

Ersetzen Sie auf der Seite Edit Trust Relationship (Vertrauensstellung bearbeiten) die vorhandene Richtlinienanweisung durch die folgende Anweisung.


{
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "workspaces.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Wählen Sie Update Trust Policy (Trust Policy aktualisieren).

Erstellen der Servicerolle AmazonWorkSpacesPCAAccess

Bevor sich Benutzer mit zertifikatbasierter Authentifizierung anmelden können, müssen Sie überprüfen, ob eine Rolle mit dem Namen AmazonWorkSpacesPCAAccess existiert. Diese Rolle wird erstellt, wenn Sie die zertifikatbasierte Authentifizierung für ein Verzeichnis mithilfe von AWS Management Console aktivieren. Sie gewährt Amazon WorkSpaces die Berechtigung, in Ihrem Namen auf AWS Private CA-Ressourcen zuzugreifen. Wenn diese Rolle nicht existiert, weil Sie die Konsole nicht zur Verwaltung der zertifikatbasierten Authentifizierung verwenden, können Sie sie mit dem folgenden Verfahren erstellen.

So erstellen Sie die Servicerolle AmazonWorkSpacesPCAAccess mit der AWS CLI

Erstellen Sie eine JSON-Datei namens AmazonWorkSpacesPCAAccess.json mit dem folgenden Text.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "prod.euc.ecm.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Passen Sie den AmazonWorkSpacesPCAAccess.json-Pfad nach Bedarf an und führen Sie die folgenden AWS CLI-Befehle aus, um die Servicerolle zu erstellen und die verwaltete AmazonWorkspacesPCAAccess-Richtlinie anzuhängen.


aws iam create-role --path /service-role/ --role-name AmazonWorkSpacesPCAAccess --assume-role-policy-document file://AmazonWorkSpacesPCAAccess.json


aws iam attach-role-policy —role-name AmazonWorkSpacesPCAAccess —policy-arn arn:aws:iam::aws:policy/AmazonWorkspacesPCAAccess

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Datenschutz

Von AWS verwaltete Richtlinien für WorkSpaces