Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Identitäts- und Zugriffsverwaltung für WorkSpaces
Standardmäßig haben IAM-Benutzer keine Berechtigungen für WorkSpaces-Ressourcen und -Vorgänge. Um IAM-Benutzern die Verwaltung von WorkSpaces-Ressourcen zu ermöglichen, erstellen Sie eine IAM-Richtlinie, die diesen ausdrücklich Berechtigungen erteilt. Anschließend fügen Sie die Richtlinie den IAM-Benutzern oder -Gruppen an, die diese Berechtigungen benötigen.
Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:
-
Benutzer und Gruppen in AWS IAM Identity Center:
Erstellen Sie einen Berechtigungssatz. Befolgen Sie die Anweisungen unter Erstellen eines Berechtigungssatzes im AWS IAM Identity Center-Benutzerhandbuch.
-
Benutzer, die in IAM über einen Identitätsanbieter verwaltet werden:
Erstellen Sie eine Rolle für den Identitätsverbund. Befolgen Sie die Anweisungen unter Erstellen einer Rolle für einen externen Identitätsanbieter (Verbund) im IAM-Benutzerhandbuch.
-
IAM-Benutzer:
-
Erstellen Sie eine Rolle, die Ihr Benutzer annehmen kann. Folgen Sie den Anweisungen unter Erstellen einer Rolle für einen IAM-Benutzer im IAM-Benutzerhandbuch.
-
(Nicht empfohlen) Weisen Sie einem Benutzer eine Richtlinie direkt zu oder fügen Sie einen Benutzer zu einer Benutzergruppe hinzu. Befolgen Sie die Anweisungen unter Hinzufügen von Berechtigungen zu einem Benutzer (Konsole) im IAM-Benutzerhandbuch.
-
Weitere allgemeine Informationen zu IAM-Richtlinien finden Sie unter Berechtigungen und Richtlinien im IAM-Benutzerhandbuch.
WorkSpaces erstellt auch eine IAM-Rolle (workspaces_DefaultRole
), die dem WorkSpaces-Service den Zugriff auf die erforderlichen Ressourcen ermöglicht.
Weitere Informationen über IAM finden Sie unter Identity and Access Management (IAM)
Ein Tool, mit dem Sie IAM-Richtlinien erstellen können, finden Sie im AWS Policy Generator
Anmerkung
Amazon WorkSpaces unterstützt nicht die Bereitstellung von IAM-Anmeldeinformationen in einem WorkSpace (wie z. B. bei einem Instance-Profil).
Inhalt
Beispielrichtlinien
Die folgenden Beispiele veranschaulichen Richtlinienanweisungen, mit denen Sie die Berechtigungen, die IAM-Benutzer für Amazon WorkSpaces haben, kontrollieren können.
Beispiel 1: Alle WorkSpaces-Aufgaben ausführen
Mit der folgenden Richtlinienanweisung werden IAM-Benutzer zum Ausführen aller WorkSpaces-Aufgaben berechtigt, einschließlich Erstellen und Verwalten von Verzeichnissen. Es erteilt auch die Berechtigung zum Ausführen der Schnellinstallationsprozedur.
Obwohl Amazon WorkSpaces die Elemente Action
und AWS Management Console bei der Verwendung der API und der Befehlszeilentools vollständig unterstützt, müssen die IAM-Benutzer über Berechtigungen für die folgenden Aktionen und Ressourcen verfügen, um Amazon WorkSpaces von Resource
aus verwenden zu können:
-
Aktionen: „
workspaces:*"
und"ds:*"
-
Ressourcen:
"Resource": "*"
Die folgende Beispielrichtlinie zeigt, wie Sie IAM-Benutzern die Verwendung von Amazon WorkSpaces aus AWS Management Console ermöglichen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "workspaces:*", "ds:*", "iam:GetRole", "iam:CreateRole", "iam:PutRolePolicy", "iam:CreatePolicy", "iam:AttachRolePolicy", "iam:ListRoles", "kms:ListAliases", "kms:ListKeys", "ec2:CreateVpc", "ec2:CreateSubnet", "ec2:CreateNetworkInterface", "ec2:CreateInternetGateway", "ec2:CreateRouteTable", "ec2:CreateRoute", "ec2:CreateTags", "ec2:CreateSecurityGroup", "ec2:DescribeInternetGateways", "ec2:DescribeSecurityGroups", "ec2:DescribeRouteTables", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeNetworkInterfaces", "ec2:DescribeAvailabilityZones", "ec2:AttachInternetGateway", "ec2:AssociateRouteTable", "ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress", "ec2:DeleteSecurityGroup", "ec2:DeleteNetworkInterface", "ec2:RevokeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress", "workdocs:RegisterDirectory", "workdocs:DeregisterDirectory", "workdocs:AddUserToGroup" ], "Resource": "*" }, { "Sid": "iamPassRole", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "workspaces.amazonaws.com" } } } ] }
Beispiel 2: Führen Sie WorkSpace-spezifische Aufgaben durch
Die folgende Richtlinie erteilt IAM-Benutzern die Berechtigung zum Ausführen von WorkSpace-Aufgaben wie das Starten und Entfernen von WorkSpaces. In der Richtlinienanweisung gewährt die Aktion ds:*
umfassende Berechtigungen, d. h. vollständige Kontrolle über alle Verzeichnisdienstobjekte des Kontos.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "workspaces:*", "ds:*", "iam:PutRolePolicy" ], "Resource": "*" } ] }
Fügen Sie die workdocs
-Operationen wie im folgenden Beispiel dargestellt hinzu, um Benutzern auch die Möglichkeit zu gewähren, Amazon WorkDocs für Benutzer innerhalb von WorkSpaces zu aktivieren.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "workspaces:*", "ds:*", "workdocs:AddUserToGroup" ], "Resource": "*" } ] }
Damit der Benutzer den Launch WorkSpaces-Assistenten verwenden kann, fügen Sie die im folgenden Beispiel dargestellten kms
-Operationen hinzu.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "workspaces:*", "ds:*", "workdocs:AddUserToGroup", "kms:ListAliases", "kms:ListKeys" ], "Resource": "*" } ] }
Beispiel 3: Ausführen aller WorkSpaces-Aufgaben für BYOL-WorkSpaces
Die folgende Richtlinienanweisung gewährt einem IAM-Benutzer die Erlaubnis, alle WorkSpaces-Aufgaben auszuführen, einschließlich der Amazon-EC2-Aufgaben, die für die Erstellung von Bring-Your-Own-License (BYOL)-WorkSpaces erforderlich sind.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "workspaces:*", "ds:*", "iam:GetRole", "iam:CreateRole", "iam:PutRolePolicy", "kms:ListAliases", "kms:ListKeys", "ec2:CreateVpc", "ec2:CreateSubnet", "ec2:CreateNetworkInterface", "ec2:CreateInternetGateway", "ec2:CreateRouteTable", "ec2:CreateRoute", "ec2:CreateTags", "ec2:CreateSecurityGroup", "ec2:DescribeImages", "ec2:ModifyImageAttribute", "ec2:DescribeInternetGateways", "ec2:DescribeSecurityGroups", "ec2:DescribeRouteTables", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeNetworkInterfaces", "ec2:DescribeAvailabilityZones", "ec2:AttachInternetGateway", "ec2:AssociateRouteTable", "ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress", "ec2:DeleteSecurityGroup", "ec2:DeleteNetworkInterface", "ec2:RevokeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress", "workdocs:RegisterDirectory", "workdocs:DeregisterDirectory", "workdocs:AddUserToGroup" ], "Resource": "*" }, { "Sid": "iamPassRole", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "workspaces.amazonaws.com" } } } ] }
Angeben von WorkSpaces-Ressourcen in einer IAM-Richtlinie
Verwenden Sie den Amazon-Ressourcenname (ARN) der Ressource, um eine WorkSpaces-Ressource im Resource
-Element der Richtlinie festzulegen. Sie kontrollieren den Zugriff auf Ihre WorkSpaces-Ressourcen, indem Sie die Berechtigungen zur Verwendung von im Action
-Element Ihrer IAM-Richtlinienanweisung festgelegten API-Aktionen entweder erteilen oder verweigern. WorkSpaces definiert ARNs für WorkSpaces, Pakete, IP-Gruppen und Verzeichnisse.
WorkSpace-ARN
Ein WorkSpace-ARN besitzt die im folgenden Beispiel gezeigte Syntax.
arn:aws:workspaces:region
:account_id
:workspace/workspace_identifier
- region
-
Die Region, in der sich der WorkSpace befindet (z. B.
us-east-1
). - account_id
-
Die ID des AWS-Kontos ohne Bindestriche (z. B.
123456789012
) - workspace_identifier
-
Die ID für den WorkSpace (z. B.
ws-a1bcd2efg
).
Das Resource
-Element einer Richtlinie, das einen bestimmten WorkSpace identifiziert, weist das folgende Format auf.
"Resource": "arn:aws:workspaces:region
:account_id
:workspace/workspace_identifier
"
Sie können den Platzhalter *
verwenden, um alle WorkSpaces anzugeben, die zu einem bestimmten Konto in einer bestimmten Region gehören.
Abbild-ARN
Ein WorkSpace-Abbild-ARN besitzt die im folgenden Beispiel gezeigte Syntax.
arn:aws:workspaces:region
:account_id
:workspaceimage/image_identifier
- region
-
Die Region, in der sich das WorkSpace-Abbild befindet (z. B.
us-east-1
). - account_id
-
Die ID des AWS-Kontos ohne Bindestriche (z. B.
123456789012
) - bundle_identifier
-
Die ID für das WorkSpace-Abbild (z. B.
wsi-a1bcd2efg
).
Das Resource
-Element einer Richtlinienanweisung, das ein spezifisches Paket identifiziert, weist das folgende Format auf.
"Resource": "arn:aws:workspaces:region
:account_id
:workspaceimage/image_identifier
"
Sie können den Platzhalter *
verwenden, um alle WorkSpaces-Abbilder anzugeben, die zu einem bestimmten Konto in einer bestimmten Region gehören.
Bundle-ARN
Ein Bundle-ARN besitzt die im folgenden Beispiel gezeigte Syntax.
arn:aws:workspaces:region
:account_id
:workspacebundle/bundle_identifier
- region
-
Die Region, in der sich der WorkSpace befindet (z. B.
us-east-1
). - account_id
-
Die ID des AWS-Kontos ohne Bindestriche (z. B.
123456789012
) - bundle_identifier
-
Die ID für das WorkSpace-Paket (z. B.
wsb-a1bcd2efg
).
Das Resource
-Element einer Richtlinie, das ein spezifisches Bundle identifiziert, weist das folgende Format auf.
"Resource": "arn:aws:workspaces:region
:account_id
:workspacebundle/bundle_identifier
"
Sie können den Platzhalter *
verwenden, um alle Pakete anzugeben, die zu einem bestimmten Konto in einer bestimmten Region gehören.
ARN der IP-Gruppe
Ein IP-Gruppen-ARN besitzt die im folgenden Beispiel gezeigte Syntax.
arn:aws:workspaces:region
:account_id
:workspaceipgroup/ipgroup_identifier
- region
-
Die Region, in der sich der WorkSpace befindet (z. B.
us-east-1
). - account_id
-
Die ID des AWS-Kontos ohne Bindestriche (z. B.
123456789012
) - ipgroup_identifier
-
Die ID der IP-Gruppe (z. B.
wsipg-a1bcd2efg
).
Das Resource
-Element einer Richtlinie, das eine bestimmte IP-Gruppe identifiziert, weist das folgende Format auf.
"Resource": "arn:aws:workspaces:region
:account_id
:workspaceipgroup/ipgroup_identifier
"
Sie können den Platzhalter *
verwenden, um alle IP-Gruppen anzugeben, die zu einem bestimmten Konto in einer bestimmten Region gehören.
Verzeichnis-ARN
Ein Verzeichnis ARN besitzt die im folgenden Beispiel gezeigte Syntax.
arn:aws:workspaces:region
:account_id
:directory/directory_identifier
- region
-
Die Region, in der sich der WorkSpace befindet (z. B.
us-east-1
). - account_id
-
Die ID des AWS-Kontos ohne Bindestriche (z. B.
123456789012
) - directory_identifier
-
Die ID des Verzeichnisses (z. B.
d-12345a67b8
).
Das Resource
-Element einer Richtlinie, das eine bestimmte Richtlinienanweisung identifiziert, weist das folgende Format auf.
"Resource": "arn:aws:workspaces:region
:account_id
:directory/directory_identifier
"
Sie können den Platzhalter *
verwenden, um alle Verzeichnisse anzugeben, die zu einem bestimmten Konto in einer bestimmten Region gehören.
Verbindungsalias-ARN
Ein Verbindungsalias-ARN besitzt die im folgenden Beispiel gezeigte Syntax.
arn:aws:workspaces:region
:account_id
:connectionalias/connectionalias_identifier
- region
-
Die Region, in der sich der Verbindungsalias befindet (z. B.
us-east-1
). - account_id
-
Die ID des AWS-Kontos ohne Bindestriche (z. B.
123456789012
) - connectionalias_identifier
-
Die ID des Verbindungsalias (z. B.
wsca-12345a67b8
).
Das Resource
-Element einer Richtlinienanweisung, das einen bestimmten Verbindungsalias angibt, weist das folgende Format auf.
"Resource": "arn:aws:workspaces:region
:account_id
:connectionalias/connectionalias_identifier
"
Sie können den Platzhalter *
verwenden, um alle Verbindungsaliase anzugeben, die zu einem bestimmten Konto in einer bestimmten Region gehören.
API-Aktionen ohne Unterstützung für Berechtigungen auf Ressourcenebene
Mit den folgenden API-Aktionen können Sie keinen Ressourcen-ARN angeben:
AssociateIpGroups
CreateIpGroup
CreateTags
DeleteTags
DeleteWorkspaceImage
DescribeAccount
DescribeAccountModifications
DescribeIpGroups
DescribeTags
DescribeWorkspaceDirectories
DescribeWorkspaceImages
DescribeWorkspaces
DescribeWorkspacesConnectionStatus
DisassociateIpGroups
ImportWorkspaceImage
ListAvailableManagementCidrRanges
ModifyAccount
Bei API-Aktionen, die Berechtigungen auf Ressourcenebene nicht unterstützen, müssen Sie die Ressourcenanweisung wie im folgenden Beispiel dargestellt angeben.
"Resource": "*"
API-Aktionen, die Einschränkungen auf Kontoebene für gemeinsam genutzte Ressourcen nicht unterstützen
Für die folgenden API-Aktionen können Sie im Ressourcen-ARN keine Konto-ID angeben, wenn die Ressource nicht dem Konto gehört:
AssociateConnectionAlias
CopyWorkspaceImage
DisassociateConnectionAlias
Für diese API-Aktionen können Sie nur dann eine Konto-ID im Ressourcen-ARN angeben, wenn dieses Konto die Ressourcen besitzt, die verwendet werden sollen. Wenn das Konto nicht Besitzer der Ressourcen ist, müssen Sie, wie im folgenden Beispiel veranschaulicht, für das Konto den Wert *
angeben.
"arn:aws:workspaces:
region
:*:resource_type
/resource_identifier
"
Erstellen der Rolle workspaces_DefaultRole
Bevor Sie ein Verzeichnis mithilfe der API registrieren können, müssen Sie überprüfen, ob eine Rolle mit dem Namen workspaces_DefaultRole
existiert. Diese Rolle wird durch das Quick Setup, oder wenn Sie einen WorkSpace mit der AWS Management Console starten, erstellt und gewährt Amazon WorkSpaces die Berechtigung, in Ihrem Namen auf bestimmte AWS-Ressourcen zuzugreifen. Wenn diese Rolle nicht existiert, können Sie sie auf folgende Weise erstellen.
So erstellen Sie die Rolle workspaces_DefaultRole
-
Melden Sie sich bei der AWS Management Console an und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/
. -
Wählen Sie im Navigationsbereich auf der linken Seite Roles (Rollen).
-
Wählen Sie Create role (Rolle erstellen) aus.
-
Wählen Sie unter Typ der vertrauenswürdigen Entität auswählen die Option Weiteres AWS-Konto aus.
-
Geben Sie für Account ID (Konto-ID) Ihre Konto-ID ohne Bindestriche oder Leerzeichen ein.
-
Geben Sie unter Options (Optionen) keine Multi-Faktor-Authentifizierung (MFA) an.
-
Wählen Sie Next: Permissions (Weiter: Berechtigungen) aus.
-
Wählen Sie auf der Seite Berechtigungsrichtlinien anhängen die verwalteten AWS-Richtlinien AmazonWorkSpacesServiceAccess und AmazonWorkSpacesesSelfServiceAccess aus.
-
Es wird empfohlen, unter Berechtigungsgrenze festlegen keine Berechtigungsgrenze zu verwenden, da Konflikte mit den Richtlinien auftreten können, die der Rolle workspaces_DefaultRole zugeordnet sind. Solche Konflikte könnten bestimmte erforderliche Berechtigungen für die Rolle blockieren.
-
Wählen Sie Next: Markierungen (Weiter: Markierungen).
-
Fügen Sie auf der Seite Add tags (optional) (Tags hinzufügen (optional)) Tags hinzu, sofern erforderlich.
-
Wählen Sie Weiter: Prüfen aus.
-
Geben Sie auf der Seite Review (Überprüfen) für Role name (Rollenname)
workspaces_DefaultRole
ein. -
(Optional) Geben Sie im Feld Role description (Rollenbeschreibung) eine Beschreibung ein.
-
Wählen Sie Create Role aus.
-
Wählen Sie auf der Seite Summary (Zusammenfassung) für die Rolle workspaces_DefaultRole die Registerkarte Trust relationships (Vertrauensstellungen).
-
Wählen Sie auf der Registerkarte Trust relationships (Vertrauensstellungen) die Option Edit trust relationship (Vertrauensstellung bearbeiten).
-
Ersetzen Sie auf der Seite Edit Trust Relationship (Vertrauensstellung bearbeiten) die vorhandene Richtlinienanweisung durch die folgende Anweisung.
{ "Statement": [ { "Effect": "Allow", "Principal": { "Service": "workspaces.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
-
Wählen Sie Update Trust Policy (Trust Policy aktualisieren).
Erstellen der Servicerolle AmazonWorkSpacesPCAAccess
Bevor sich Benutzer mit zertifikatbasierter Authentifizierung anmelden können, müssen Sie überprüfen, ob eine Rolle mit dem Namen AmazonWorkSpacesPCAAccess
existiert. Diese Rolle wird erstellt, wenn Sie die zertifikatbasierte Authentifizierung für ein Verzeichnis mithilfe von AWS Management Console aktivieren. Sie gewährt Amazon WorkSpaces die Berechtigung, in Ihrem Namen auf AWS Private CA-Ressourcen zuzugreifen. Wenn diese Rolle nicht existiert, weil Sie die Konsole nicht zur Verwaltung der zertifikatbasierten Authentifizierung verwenden, können Sie sie mit dem folgenden Verfahren erstellen.
So erstellen Sie die Servicerolle AmazonWorkSpacesPCAAccess mit der AWS CLI
-
Erstellen Sie eine JSON-Datei namens
AmazonWorkSpacesPCAAccess.json
mit dem folgenden Text.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "prod.euc.ecm.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
-
Passen Sie den
AmazonWorkSpacesPCAAccess.json
-Pfad nach Bedarf an und führen Sie die folgenden AWS CLI-Befehle aus, um die Servicerolle zu erstellen und die verwaltete AmazonWorkspacesPCAAccess-Richtlinie anzuhängen.aws iam create-role --path /service-role/ --role-name AmazonWorkSpacesPCAAccess --assume-role-policy-document file://AmazonWorkSpacesPCAAccess.json
aws iam attach-role-policy —role-name AmazonWorkSpacesPCAAccess —policy-arn arn:aws:iam::aws:policy/AmazonWorkspacesPCAAccess