Acceso a las instancias de streaming WorkSpaces y a los scripts de las mismas - Amazon WorkSpaces
Mejores prácticas para usar IAM roles con instancias de WorkSpaces streamingConfiguración de un IAM rol existente para usarlo con instancias WorkSpaces de streamingCómo crear un IAM rol para usarlo con instancias WorkSpaces de streamingCómo utilizar el IAM rol con instancias WorkSpaces de streaming

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Acceso a las instancias de streaming WorkSpaces y a los scripts de las mismas

Las aplicaciones y los scripts que se ejecutan en las instancias de WorkSpaces streaming deben incluir AWS credenciales en sus AWS APIsolicitudes. Puede crear un IAM rol para administrar estas credenciales. Un IAM rol especifica un conjunto de permisos que puede usar para acceder AWS recursos. Sin embargo, este rol no se asocia de manera exclusiva a una persona. En su lugar, puede asumirlo cualquier usuario que lo necesite.

Puede aplicar un IAM rol a una instancia WorkSpaces de streaming. Cuando la instancia de streaming cambia al rol (lo asume), el rol proporciona credenciales de seguridad temporales. La aplicación o los scripts utilizan estas credenciales para realizar API acciones y tareas de administración en la instancia de streaming. WorkSpaces administra el cambio de credenciales temporal por usted.

Mejores prácticas para usar IAM roles con instancias de WorkSpaces streaming

Cuando utilices IAM roles con instancias de WorkSpaces streaming, te recomendamos que sigas estas prácticas:

  • Limita los permisos que concedes a AWS APIacciones y recursos.

    Siga los principios de privilegios mínimos al crear y adjuntar IAM políticas a las IAM funciones asociadas a las instancias de WorkSpaces streaming. Cuando utilizas una aplicación o un script que requiere acceso a AWS APIacciones o recursos, determine las acciones y los recursos específicos que se requieren. A continuación, cree políticas que permitan a la aplicación o al script realizar únicamente tales acciones. Para obtener más información, consulte Concesión de privilegios mínimos en la Guía del IAM usuario.

  • Cree un IAM rol para cada WorkSpaces recurso.

    Crear un IAM rol único para cada WorkSpaces recurso es una práctica que sigue los principios de privilegios mínimos. Esto también le permite modificar los permisos de un recurso sin que ello afecte a otros recursos.

  • Límite dónde se pueden utilizar las credenciales.

    IAMlas políticas le permiten definir las condiciones en las que se puede utilizar su IAM función para acceder a un recurso. Por ejemplo, puede incluir condiciones para especificar un rango de direcciones IP desde el que pueden proceder las solicitudes. Esto impide que las credenciales se utilicen fuera de su entorno. Para obtener más información, consulte las condiciones de la política de uso para mayor seguridad en la Guía del IAM usuario.

Configuración de un IAM rol existente para usarlo con instancias WorkSpaces de streaming

En este tema se describe cómo configurar un IAM rol existente para poder usarlo con WorkSpaces .

Requisitos previos 

El IAM rol que desee utilizar WorkSpaces debe cumplir los siguientes requisitos previos:

  • El IAM rol debe estar en la misma cuenta de Amazon Web Services que la instancia WorkSpaces de streaming.

  • El IAM rol no puede ser un rol de servicio.

  • La política de relaciones de confianza que se adjunta a la IAM función debe incluir el WorkSpaces servicio como principal. Un principal es una entidad en AWS que puede realizar acciones y acceder a los recursos. La política también debe incluir la acción sts:AssumeRole. Esta configuración de política WorkSpaces se define como una entidad de confianza.

  • Si va a aplicar la IAM función a WorkSpaces, WorkSpaces debe ejecutar una versión del WorkSpaces agente publicada a partir del 3 de septiembre de 2019. Si va a solicitar el IAM rol a WorkSpaces, WorkSpaces debe usar una imagen que utilice una versión del agente publicada en la misma fecha o después.

Para permitir que el director del WorkSpaces servicio asuma un IAM rol existente

Para realizar los siguientes pasos, debe iniciar sesión en la cuenta como un IAM usuario con los permisos necesarios para enumerar y actualizar las IAM funciones. Si no tiene los permisos necesarios, pida al administrador de su cuenta de Amazon Web Services que realice estos pasos en su cuenta o que le conceda los permisos requeridos.

  1. Abre la IAM consola en https://console.aws.amazon.com/iam/.

  2. Seleccione Roles en el panel de navegación.

  3. En la lista de roles de su cuenta, elija el nombre del rol que desee modificar.

  4. Elija la pestaña Relaciones de confianza y, a continuación, Editar relación de confianza.

  5. En Policy Document (Documento de política), compruebe que la política de relación de confianza incluya la acción sts:AssumeRole para la entidad principal del servicio workspaces.amazonaws.com:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "workspaces.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  6. Cuando haya terminado de editar la política de confianza, elija Update Trust Policy (Actualizar política de confianza) para guardar los cambios.

  7. El IAM rol que ha seleccionado se mostrará en la WorkSpaces consola. Este rol otorga permisos a las aplicaciones y los scripts para realizar API acciones y tareas de administración en las instancias de streaming.

Cómo crear un IAM rol para usarlo con instancias WorkSpaces de streaming

En este tema se describe cómo crear un nuevo IAM rol para poder usarlo con WorkSpaces

  1. Abra la IAM consola en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, seleccione Roles y luego seleccione Crear rol.

  3. En Seleccione el tipo de entidad de confianza, elija AWS servicio.

  4. De la lista de AWS servicios, elija WorkSpaces.

  5. En Seleccione su caso de uso, WorkSpaces — Permite que WorkSpaces las instancias se llamen AWS los servicios en tu nombre ya están seleccionados. Elija Siguiente: permisos.

  6. Si es posible, seleccione la política que desea utilizar para la política de permisos o elija Create policy (Crear política) para abrir una pestaña nueva del navegador y crear una política nueva desde cero. Para obtener más información, consulte el paso 4 del procedimiento de creación de IAM políticas (consola) de la Guía del IAM usuario.

    Después de crear la política, cierre esa pestaña y vuelva a la pestaña original. Seleccione la casilla de verificación situada junto a las políticas de permisos que WorkSpaces desee tener.

  7. (Opcional) Configure un límite de permisos. Se trata de una característica avanzada que está disponible para los roles de servicio, pero no para los roles vinculados a servicios. Para obtener más información, consulte los límites de los permisos para IAM las entidades en la Guía del IAM usuario.

  8. Elija Siguiente: etiquetas. Opcionalmente, puede asociar etiquetas como pares de clave-valor. Para obtener más información, consulte Etiquetado de IAM usuarios y roles en la Guía del IAM usuario.

  9. Elija Siguiente: Revisar.

  10. En Nombre de rol, escriba un nombre de rol único en su cuenta de Amazon Web Services. Porque otros AWS los recursos pueden hacer referencia al rol, no puede editar el nombre del rol una vez creado.

  11. En Role description (Descripción del rol), conserve la descripción del rol predeterminada o escriba una nueva.

  12. Revise el rol y, a continuación, elija Crear rol.

Cómo utilizar el IAM rol con instancias WorkSpaces de streaming

Después de crear un IAM rol, puede aplicarlo al WorkSpaces momento del lanzamiento WorkSpaces. También puede aplicar un IAM rol a uno existente WorkSpaces.

Al aplicar un IAM rol a WorkSpaces, WorkSpaces recupera las credenciales temporales y crea el perfil de credenciales workspaces_machine_role en la instancia. Las credenciales temporales son válidas durante 1 hora y las nuevas credenciales se recuperan cada hora. Las credenciales anteriores no vencen, por lo que puede utilizarlas mientras sean válidas. Puede usar el perfil de credenciales para llamar AWS presta servicios mediante programación mediante el AWS Interfaz de línea de comandos (AWS CLI), AWS Herramientas para PowerShell, o el AWS SDKcon el idioma que prefiera.

Cuando realice las API llamadas, especifique workspaces_machine_role como perfil de credenciales. De lo contrario, la operación falla debido a los permisos insuficientes.

WorkSpaces asume la función especificada mientras se aprovisiona la instancia de streaming. Porque WorkSpaces utiliza la interfaz de red elástica que está conectada a VPC su AWS APIllamadas, su aplicación o script debe esperar a que la interfaz de red elástica esté disponible antes de realizar AWS APIllamadas. Si API las llamadas se realizan antes de que la interface de red elástica esté disponible, las llamadas fallan.

Los siguientes ejemplos muestran cómo se puede utilizar el perfil de credenciales workspaces_machine_role para describir las instancias de streaming (EC2instancias) y crear el cliente Boto. Boto es Amazon Web Services (AWS) SDK para Python.

Describa las instancias de streaming (EC2instancias) mediante el AWS CLI

aws ec2 describe-instances --region us-east-1 --profile workspaces_machine_role

Describa las instancias de streaming (EC2instancias) mediante AWS Herramientas para PowerShell

Debes usar AWS Herramientas para la PowerShell versión 3.3.563.1 o posterior, con Amazon Web Services para. SDK NETversión 3.3.103.22 o posterior. Puede descargar el AWS El instalador de herramientas para Windows, que incluye AWS Herramientas para PowerShell y Amazon Web Services SDK para. NET, desde la AWS Herramientas para el PowerShell sitio web.

Get-EC2Instance -Region us-east-1 -ProfileName workspaces_machine_role

Creación del cliente Boto mediante el AWS SDKpara Python 

session = boto3.Session(profile_name=workspaces_machine_role')