Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Administración de identidad y acceso para WorkSpaces
De forma predeterminada, los usuarios de IAM no tienen permisos para los WorkSpaces recursos y las operaciones. Para permitir que los usuarios de IAM administren WorkSpaces los recursos, debe crear una política de IAM que les conceda permisos de forma explícita y adjuntar la política a los usuarios o grupos de IAM que necesiten esos permisos.
**nota**
Amazon WorkSpaces no admite el aprovisionamiento de credenciales de IAM en un WorkSpace (por ejemplo, con un perfil de instancia).
Para dar acceso, agregue permisos a los usuarios, grupos o roles:
+ Usuarios y grupos en: AWS IAM Identity Center
Cree un conjunto de permisos. Siga las instrucciones de [Creación de un conjunto de permisos](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) en la *Guía del usuario de AWS IAM Identity Center *.
+ Usuarios gestionados en IAM a través de un proveedor de identidades:
Cree un rol para la federación de identidades. Siga las instrucciones descritas en [Creación de un rol para un proveedor de identidad de terceros (federación)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) en la *Guía del usuario de IAM*.
+ Usuarios de IAM:
+ Cree un rol que el usuario pueda aceptar. Siga las instrucciones descritas en [Creación de un rol para un usuario de IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) en la *Guía del usuario de IAM*.
+ (No recomendado) Adjunte una política directamente a un usuario o agregue un usuario a un grupo de usuarios. Siga las instrucciones descritas en [Adición de permisos a un usuario (consola)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) de la *Guía del usuario de IAM*.
A continuación se enumeran recursos adicionales de IAM:
+ Para obtener más información sobre las políticas de IAM, consulte [Políticas y permisos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) en la *Guía del usuario de IAM*.
+ Para obtener más información sobre IAM, consulte [Administración de identidades y acceso (IAM)](https://aws.amazon.com/iam) y la [https://docs.aws.amazon.com/IAM/latest/UserGuide/](https://docs.aws.amazon.com/IAM/latest/UserGuide/).
+ Para obtener más información sobre recursos, acciones y claves de contexto de condiciones WorkSpaces específicos para su uso en las políticas de permisos de IAM, consulte [Acciones, recursos y claves de condición para Amazon WorkSpaces](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonworkspaces.html) en la Guía del usuario de *IAM*.
+ Para obtener una herramienta que le ayude a crear políticas de IAM, consulte [Generador de políticas de AWS](https://aws.amazon.com/blogs/aws/aws-policy-generator/). También puede utilizar el [simulador de política de IAM](https://docs.aws.amazon.com/IAM/latest/UsingPolicySimulatorGuide/) para probar si una política permitiría o denegaría una solicitud específica a AWS.
**Topics**
+ [Ejemplos de políticas](#workspaces-example-iam-policies)
+ [Especifique los WorkSpaces recursos en una política de IAM](#wsp_iam_resource)
+ [Cree el rol workspaces\$1 DefaultRole](#create-default-role)
+ [Cree el rol de servicio AmazonWorkSpaces PCAAccess](#create-pca-access-role)
+ [AWS políticas gestionadas para WorkSpaces](managed-policies.md)
+ [Acceso a las instancias de streaming WorkSpaces y a los scripts de las mismas](using-iam-roles-to-grant-permissions-to-applications-scripts-streaming-instances.md)
+ [Referencia de permisos de operaciones de la consola de Amazon WorkSpaces](wsp-console-permissions-ref.md)
## Ejemplos de políticas
Los siguientes ejemplos muestran declaraciones de políticas que puedes usar para controlar los permisos que los usuarios de IAM tienen en Amazon WorkSpaces.
### Ejemplo 1: conceder acceso para realizar tareas WorkSpaces personales y grupales
La siguiente declaración de política otorga a un usuario de IAM permiso para realizar tareas WorkSpaces personales y de grupos.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:*",
"workspaces:*",
"application-autoscaling:DeleteScalingPolicy",
"application-autoscaling:DeleteScheduledAction",
"application-autoscaling:DeregisterScalableTarget",
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"application-autoscaling:PutScalingPolicy",
"application-autoscaling:PutScheduledAction",
"application-autoscaling:RegisterScalableTarget",
"cloudwatch:DeleteAlarms",
"cloudwatch:DescribeAlarms",
"cloudwatch:PutMetricAlarm",
"ec2:AssociateRouteTable",
"ec2:AttachInternetGateway",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateInternetGateway",
"ec2:CreateNetworkInterface",
"ec2:CreateRoute",
"ec2:CreateRouteTable",
"ec2:CreateSecurityGroup",
"ec2:CreateSubnet",
"ec2:CreateTags",
"ec2:CreateVpc",
"ec2:DeleteNetworkInterface",
"ec2:DeleteSecurityGroup",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeInternetGateways",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"iam:AttachRolePolicy",
"iam:CreatePolicy",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:PutRolePolicy",
"kms:ListAliases",
"kms:ListKeys",
"secretsmanager:ListSecrets",
"tag:GetResources",
"sso-directory:SearchUsers",
"sso:CreateApplication",
"sso:DeleteApplication",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:GetApplicationGrant",
"sso:ListInstances",
"sso:PutApplicationAssignmentConfiguration",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "workspaces.amazonaws.com"
}
}
}
]
}
```
------
### Ejemplo 2: Conceder acceso para realizar tareas WorkSpaces personales
La siguiente declaración de política concede a un usuario de IAM permiso para realizar todas las tareas WorkSpaces personales.
Si bien Amazon admite WorkSpaces plenamente los `Resource` elementos `Action` y cuando utiliza la API y las herramientas de línea de comandos, para utilizar Amazon WorkSpaces desde el Consola de administración de AWS, un usuario de IAM debe tener permisos para las siguientes acciones y recursos:
+ Acciones: `"ds:*"`
+ Recursos: `"Resource": "*"`
El siguiente ejemplo de política muestra cómo permitir que un usuario de IAM utilice Amazon WorkSpaces desde. Consola de administración de AWS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"workspaces:*",
"ds:*",
"iam:GetRole",
"iam:CreateRole",
"iam:PutRolePolicy",
"iam:CreatePolicy",
"iam:AttachRolePolicy",
"iam:ListRoles",
"kms:ListAliases",
"kms:ListKeys",
"ec2:CreateVpc",
"ec2:CreateSubnet",
"ec2:CreateNetworkInterface",
"ec2:CreateInternetGateway",
"ec2:CreateRouteTable",
"ec2:CreateRoute",
"ec2:CreateTags",
"ec2:CreateSecurityGroup",
"ec2:DescribeInternetGateways",
"ec2:DescribeSecurityGroups",
"ec2:DescribeRouteTables",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeAvailabilityZones",
"ec2:AttachInternetGateway",
"ec2:AssociateRouteTable",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:DeleteSecurityGroup",
"ec2:DeleteNetworkInterface",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"secretsmanager:ListSecrets",
"sso-directory:SearchUsers",
"sso:CreateApplication",
"sso:DeleteApplication",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:GetApplicationGrant",
"sso:ListInstances",
"sso:PutApplicationAssignmentConfiguration",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "workspaces.amazonaws.com"
}
}
}
]
}
```
------
### Ejemplo 3: Conceder acceso para realizar tareas de WorkSpaces Pools
La siguiente declaración de política otorga a un usuario de IAM permiso para realizar todas las tareas de WorkSpaces Pools.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"workspaces:*",
"application-autoscaling:DeleteScalingPolicy",
"application-autoscaling:DeleteScheduledAction",
"application-autoscaling:DeregisterScalableTarget",
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"application-autoscaling:PutScalingPolicy",
"application-autoscaling:PutScheduledAction",
"application-autoscaling:RegisterScalableTarget",
"cloudwatch:DeleteAlarms",
"cloudwatch:DescribeAlarms",
"cloudwatch:PutMetricAlarm",
"ec2:CreateSecurityGroup",
"ec2:CreateTags",
"ec2:DescribeInternetGateways",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"iam:AttachRolePolicy",
"iam:CreatePolicy",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:PutRolePolicy",
"secretsmanager:ListSecrets",
"tag:GetResources"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "workspaces.amazonaws.com"
}
}
},
{
"Action": "iam:CreateServiceLinkedRole",
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/aws-service-role/workspaces.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_WorkSpacesPool",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "workspaces.application-autoscaling.amazonaws.com"
}
}
}
]
}
```
------
### Ejemplo 4: Realizar todas las WorkSpaces tareas para BYOL WorkSpaces
La siguiente declaración de política concede a un usuario de IAM permiso para realizar todas WorkSpaces las tareas, incluidas las tareas de Amazon EC2 necesarias para crear la licencia Bring Your Own License (BYOL). WorkSpaces
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:*",
"workspaces:*",
"ec2:AssociateRouteTable",
"ec2:AttachInternetGateway",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateInternetGateway",
"ec2:CreateNetworkInterface",
"ec2:CreateRoute",
"ec2:CreateRouteTable",
"ec2:CreateSecurityGroup",
"ec2:CreateSubnet",
"ec2:CreateTags",
"ec2:CreateVpc",
"ec2:DeleteNetworkInterface",
"ec2:DeleteSecurityGroup",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeImages",
"ec2:DescribeInternetGateways",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:ModifyImageAttribute",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"iam:CreateRole",
"iam:GetRole",
"iam:PutRolePolicy",
"kms:ListAliases",
"kms:ListKeys"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "workspaces.amazonaws.com"
}
}
}
]
}
```
------
## Especifique los WorkSpaces recursos en una política de IAM
Para especificar un WorkSpaces recurso en el `Resource` elemento de la declaración de política, utilice el nombre de recurso de Amazon (ARN) del recurso. Usted controla el acceso a sus WorkSpaces recursos al permitir o denegar los permisos para utilizar las acciones de la API que se especifican en el `Action` elemento de su declaración de política de IAM. WorkSpaces define ARNs los paquetes WorkSpaces, los grupos de IP y los directorios.
### WorkSpace ARN
Un WorkSpace ARN tiene la sintaxis que se muestra en el siguiente ejemplo.
```
arn:aws:workspaces:region:account_id:workspace/workspace_identifier
```
*region*
La región en la que WorkSpace se encuentra (por ejemplo,`us-east-1`).
*account\$1id*
El ID de la AWS cuenta, sin guiones (por ejemplo,`123456789012`).
*identificador\$1espacio\$1trabajo*
El ID de WorkSpace (por ejemplo,`ws-a1bcd2efg`).
El siguiente es el formato del `Resource` elemento de una declaración de política que identifica un elemento específico WorkSpace.
```
"Resource": "arn:aws:workspaces:region:account_id:workspace/workspace_identifier"
```
Puede usar el `*` comodín para especificar todos los WorkSpaces que pertenecen a una cuenta específica en una región específica.
### WorkSpace piscina ARN
Un WorkSpace ARN de grupo tiene la sintaxis que se muestra en el siguiente ejemplo.
```
arn:aws:workspaces:region:account_id:workspacespool/workspacespool_identifier
```
*region*
La región en la que WorkSpace se encuentra (por ejemplo,`us-east-1`).
*account\$1id*
El ID de la AWS cuenta, sin guiones (por ejemplo,`123456789012`).
*workspacespool\$1identifier*
El ID del WorkSpace grupo (por ejemplo,`ws-a1bcd2efg`).
El siguiente es el formato del `Resource` elemento de una declaración de política que identifica un elemento específico WorkSpace.
```
"Resource": "arn:aws:workspaces:region:account_id:workspacespool/workspacespool_identifier"
```
Puede usar el `*` comodín para especificar todos los WorkSpaces que pertenecen a una cuenta específica en una región específica.
### ARN del certificado
Un WorkSpace ARN de certificado tiene la sintaxis que se muestra en el siguiente ejemplo.
```
arn:aws:workspaces:region:account_id:workspacecertificate/workspacecertificateidentifier
```
*region*
La región en la que WorkSpace se encuentra (por ejemplo,`us-east-1`).
*account\$1id*
El ID de la AWS cuenta, sin guiones (por ejemplo,`123456789012`).
*workspacecertificate\$1identifier*
El ID del WorkSpace certificado (por ejemplo,`ws-a1bcd2efg`).
El siguiente es el formato del `Resource` elemento de una declaración de política que identifica un WorkSpace certificado específico.
```
"Resource": "arn:aws:workspaces:region:account_id:workspacecertificate/workspacecertificate_identifier"
```
Puede usar el `*` comodín para especificar todos los WorkSpaces que pertenecen a una cuenta específica en una región específica.
### ARN de imagen
El ARN WorkSpace de una imagen tiene la sintaxis que se muestra en el siguiente ejemplo.
```
arn:aws:workspaces:region:account_id:workspaceimage/image_identifier
```
*region*
La región en la que se encuentra la WorkSpace imagen (por ejemplo,`us-east-1`).
*account\$1id*
El ID de la AWS cuenta, sin guiones (por ejemplo,`123456789012`).
*identificador\$1paquete*
El ID de la WorkSpace imagen (por ejemplo,`wsi-a1bcd2efg`).
Este es el formato del elemento `Resource` de una instrucción de política que identifica una imagen específica.
```
"Resource": "arn:aws:workspaces:region:account_id:workspaceimage/image_identifier"
```
Puede utilizar el carácter comodín `*` para especificar todas las imágenes que pertenecen a una cuenta específica en una región específica.
### ARN de paquete
Los ARN de los paquetes tienen la sintaxis que se muestra en el siguiente ejemplo.
```
arn:aws:workspaces:region:account_id:workspacebundle/bundle_identifier
```
*region*
La región en la que WorkSpace se encuentra (por ejemplo,`us-east-1`).
*account\$1id*
El ID de la AWS cuenta, sin guiones (por ejemplo,`123456789012`).
*identificador\$1paquete*
El ID del WorkSpace paquete (por ejemplo,`wsb-a1bcd2efg`).
Este es el formato del elemento `Resource` de una instrucción de política que identifica un paquete específico.
```
"Resource": "arn:aws:workspaces:region:account_id:workspacebundle/bundle_identifier"
```
Puede utilizar el comodín `*` para especificar todos los paquetes que pertenecen a una cuenta específica en una región específica.
### ARN de grupo de IP
Los ARN de los grupos de IP tienen la sintaxis que se muestra en el ejemplo siguiente.
```
arn:aws:workspaces:region:account_id:workspaceipgroup/ipgroup_identifier
```
*region*
La región en la que WorkSpace se encuentra (por ejemplo,`us-east-1`).
*account\$1id*
El ID de la AWS cuenta, sin guiones (por ejemplo,`123456789012`).
*grupoip\$1identificador*
ID del grupo de IP (por ejemplo, `wsipg-a1bcd2efg`).
Este es el formato del elemento `Resource` de una instrucción de política que identifica un grupo de IP específico.
```
"Resource": "arn:aws:workspaces:region:account_id:workspaceipgroup/ipgroup_identifier"
```
Puede utilizar el carácter comodín `*` para especificar todos los grupos de IP que pertenecen a una cuenta específica en una región específica.
### ARN de directorio
Los ARN de los directorios tienen la sintaxis que se muestra en el ejemplo siguiente.
```
arn:aws:workspaces:region:account_id:directory/directory_identifier
```
*region*
La región en la que WorkSpace se encuentra (por ejemplo,`us-east-1`).
*account\$1id*
El ID de la AWS cuenta, sin guiones (por ejemplo,`123456789012`).
*directorio\$1identificador*
ID del directorio (por ejemplo, `d-12345a67b8`).
Este es el formato del elemento `Resource` de una instrucción de política que identifica un directorio específico.
```
"Resource": "arn:aws:workspaces:region:account_id:directory/directory_identifier"
```
Puede utilizar el carácter comodín para especificar todos los directorios que pertenecen a una cuenta específica en una región específica.
### Alias de conexión ARN
Un alias de conexión ARN tiene la sintaxis que se muestra en el siguiente ejemplo.
```
arn:aws:workspaces:region:account_id:connectionalias/connectionalias_identifier
```
*region*
La región en la que se encuentra el alias de conexión (por ejemplo,`us-east-1`).
*account\$1id*
El ID de la AWS cuenta, sin guiones (por ejemplo,). `123456789012`
*connectionalias\$1identifier*
El ID del alias de conexión (por ejemplo, `wsca-12345a67b8`).
Este es el formato del elemento `Resource` de una instrucción de política que identifica un alias de conexión específico.
```
"Resource": "arn:aws:workspaces:region:account_id:connectionalias/connectionalias_identifier"
```
Puede utilizar el carácter comodín `*` para especificar todos los alias de conexión que pertenecen a una cuenta específica en una región específica.
### Acciones de API que no admiten los permisos a nivel de recursos
No puede especificar el ARN de un recurso con las siguientes acciones de API:
+ `AssociateIpGroups`
+ `CreateIpGroup`
+ `CreateTags`
+ `DeleteTags`
+ `DeleteWorkspaceImage`
+ `DescribeAccount`
+ `DescribeAccountModifications`
+ `DescribeIpGroups`
+ `DescribeTags`
+ `DescribeWorkspaceDirectories`
+ `DescribeWorkspaceImages`
+ `DescribeWorkspaces`
+ `DescribeWorkspacesConnectionStatus`
+ `DisassociateIpGroups`
+ `ImportWorkspaceImage`
+ `ListAvailableManagementCidrRanges`
+ `ModifyAccount`
En el caso de las acciones de la API que no admiten los permisos a nivel de recursos, debe especificar la instrucción de recursos que se muestra en el ejemplo siguiente.
```
"Resource": "*"
```
### Acciones de la API que no admiten restricciones en el nivel de cuenta sobre recursos compartidos
Para las siguientes acciones de API, no puede especificar un ID de cuenta en el ARN del recurso cuando el recurso no es propiedad de la cuenta:
+ `AssociateConnectionAlias`
+ `CopyWorkspaceImage`
+ `DisassociateConnectionAlias`
Para estas acciones de la API, puedes especificar un ID de cuenta en el ARN del recurso solo cuando esa cuenta sea propietaria de los recursos sobre los que se va a actuar. Cuando la cuenta no es propietaria de los recursos, debe especificar `*` para el ID de cuenta, tal y como se muestra en el siguiente ejemplo.
```
"arn:aws:workspaces:region:*:resource_type/resource_identifier"
```
## Cree el rol workspaces\$1 DefaultRole
Antes de poder registrar un directorio mediante la API, debe comprobar que existe un rol denominado `workspaces_DefaultRole`. Esta función la crea la configuración rápida o, si lanzas una WorkSpace con Consola de administración de AWS, y otorga a Amazon WorkSpaces permiso para acceder a AWS recursos específicos en tu nombre. Si este rol no existe, puede crearlo mediante el siguiente procedimiento.
**Para crear el rol workspaces\$1 DefaultRole**
1. Inicie sesión en la consola de Consola de administración de AWS IAM y ábrala en. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. En el panel de navegación de la izquierda, seleccione **Roles**.
1. Elija **Crear rol**.
1. En **Seleccione el tipo de entidad de confianza**, elija **Otra cuenta de AWS **.
1. En **Account ID (ID de cuenta)**, escriba el ID de la cuenta sin guiones ni espacios.
1. En **Options (Opciones)**, no especifique multi-factor authentication (MFA).
1. Elija **Siguiente: permisos**.
1. En la página **Adjuntar políticas de permisos**, seleccione las políticas AWS **AmazonWorkSpacesServiceAccess**AmazonWorkSpacesSelfServiceAccess****administradas y **AmazonWorkSpacesPoolServiceAccess**. Para obtener más información sobre estas políticas administradas, consulte [AWS políticas gestionadas para WorkSpaces](managed-policies.md).
1. En **Establecer límite de permisos**, se recomienda que no utilice un límite de permisos debido a la posibilidad de conflictos con las políticas asociadas a este rol. Estos conflictos podrían bloquear ciertos permisos necesarios para el rol.
1. Elija **Siguiente: etiquetas**.
1. En la página **Add tags (optional) [Agregar etiquetas (opcional)]**, añada las etiquetas que correspondan.
1. Elija **Siguiente: Revisar**.
1. En la página **Revisión**, en **Nombre del rol**, ingrese **workspaces\$1DefaultRole**.
1. (Opcional) En **Role description (Descripción del rol)**, escriba una descripción.
1. Seleccione **Crear rol**.
1. En la página de **resumen** del DefaultRole rol workspaces\$1, seleccione la pestaña Relaciones de **confianza**.
1. En la pestaña **Trust relationships (Relaciones de confianza)**, elija **Edit trust relationship (Editar relación de confianza)**.
1. En la página **Edit Trust Relationship (Editar relación de confianza)**, sustituya la instrucción de política existente por la siguiente instrucción.
```
{
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "workspaces.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
1. Elija **Actualizar política de confianza**.
## Cree el rol de servicio AmazonWorkSpaces PCAAccess
Antes de que los usuarios puedan iniciar sesión mediante la autenticación basada en certificados, debe comprobar que existe un rol denominado `AmazonWorkSpacesPCAAccess`. Este rol se crea cuando habilitas la autenticación basada en certificados en un directorio mediante el Consola de administración de AWS, y otorga a Amazon WorkSpaces permiso para acceder a AWS Private CA los recursos en tu nombre. Si este rol no existe porque no utiliza la consola para administrar la autenticación basada en certificados, puede crearlo mediante el siguiente procedimiento.
**Para crear el rol de AmazonWorkSpaces PCAAccess servicio mediante el AWS CLI**
1. Cree un archivo JSON llamado `AmazonWorkSpacesPCAAccess.json` con el siguiente texto.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "prod.euc.ecm.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Ajuste la `AmazonWorkSpacesPCAAccess.json` ruta según sea necesario y ejecute los siguientes AWS CLI comandos para crear el rol de servicio y adjuntar la política [AmazonWorkspacesPCAAccess](managed-policies.md#workspaces-pca-access)gestionada.
```
aws iam create-role --path /service-role/ --role-name AmazonWorkSpacesPCAAccess --assume-role-policy-document file://AmazonWorkSpacesPCAAccess.json
```
```
aws iam attach-role-policy —role-name AmazonWorkSpacesPCAAccess —policy-arn arn:aws:iam::aws:policy/AmazonWorkspacesPCAAccess
```