Actions, ressources et clés de condition pour Amazon WorkSpaces - Référence de l'autorisation de service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Actions, ressources et clés de condition pour Amazon WorkSpaces

Amazon WorkSpaces (préfixe de service :workspaces) fournit les ressources, actions et clés de contexte de condition spécifiques aux services suivantes à utiliser dans IAM les politiques d'autorisation.

Références :

Actions définies par Amazon WorkSpaces

Vous pouvez spécifier les actions suivantes dans l'Actionélément d'une déclaration de IAM politique. Utilisez des politiques pour accorder des autorisations permettant d'effectuer une opération dans AWS. Lorsque vous utilisez une action dans une politique, vous autorisez ou refusez généralement l'accès à l'APIopération ou à la CLI commande portant le même nom. Toutefois, dans certains cas, une seule action contrôle l'accès à plusieurs opérations. D'autres opérations, quant à elles, requièrent plusieurs actions différentes.

La colonne Types de ressources indique si chaque action prend en charge les autorisations au niveau des ressources. S'il n'y a pas de valeur pour cette colonne, vous devez indiquer toutes les ressources (« * ») dans l'élément Resource de votre déclaration de politique. Si la colonne inclut un type de ressource, vous pouvez spécifier un type ARN de ressource de ce type dans une instruction comportant cette action. Si l'action comporte une ou plusieurs ressources requises, l'appelant doit être autorisé à utiliser l'action avec ces ressources. Les ressources requises sont indiquées dans le tableau par un astérisque (*). Si vous limitez l'accès aux ressources avec l'Resourceélément d'une IAM politique, vous devez inclure un modèle ARN ou pour chaque type de ressource requis. Certaines actions prennent en charge plusieurs types de ressources. Si le type de ressource est facultatif (non indiqué comme obligatoire), vous pouvez choisir d'utiliser l'un, mais pas l'autre.

La colonne Clés de condition inclut des clés que vous pouvez spécifier dans l'élément Condition d'une déclaration de politique. Pour plus d'informations sur les clés de condition associées aux ressources du service, consultez la colonne Clés de condition du tableau des types de ressources.

Note

Les clés de condition des ressources sont répertoriées dans le tableau Types de ressources. Vous pouvez trouver un lien vers le type de ressource qui s'applique à une action dans la colonne Types de ressources (* obligatoire) du tableau Actions. Le type de ressource indiqué dans le tableau Types de ressources inclut la colonne Clés de condition, qui contient les clés de condition de ressource qui s'appliquent à une action dans le tableau Actions.

Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Actions.

Actions Description Niveau d'accès Types de ressources (*obligatoire) Clés de condition Actions dépendantes
AcceptAccountLinkInvitation Accorde l'autorisation d'accepter des invitations provenant d'autres AWS comptes pour partager la même configuration pour WorkSpaces BYOL Écrire
AssociateConnectionAlias Accorde l'autorisation d'associer des alias de connexion à des répertoires. Écriture

connectionalias*

directoryid*

AssociateIpGroups Accorde l'autorisation d'associer des groupes de contrôle d'accès IP à des répertoires. Écrire

directoryid*

workspaceipgroup*

AssociateWorkspaceApplication Accorde l'autorisation d'associer une application d'espace de travail à un WorkSpace Écrire

workspaceapplication*

workspaceid*

aws:ResourceTag/${TagKey}

AuthorizeIpRules Accorde l'autorisation d'ajouter des règles aux groupes de contrôle d'accès IP. Écrire

workspaceipgroup*

workspaces:UpdateRulesOfIpGroup

CopyWorkspaceImage Autorise la copie d'une WorkSpace image Écrire

workspaceimage*

workspaces:DescribeWorkspaceImages

aws:RequestTag/${TagKey}

aws:TagKeys

CreateAccountLinkInvitation Accorde l'autorisation d'inviter d'autres AWS comptes à partager la même configuration pour WorkSpaces BYOL Écrire
CreateConnectClientAddIn Accorde l'autorisation de créer une extension client Amazon Connect dans un répertoire Écrire

directoryid*

CreateConnectionAlias Accorde l'autorisation de créer des alias de connexion à utiliser avec la redirection entre régions. Écriture

aws:RequestTag/${TagKey}

aws:TagKeys

CreateIpGroup Accorde l'autorisation de créer des groupes de contrôle d'accès IP. Écrire

aws:RequestTag/${TagKey}

aws:TagKeys

CreateStandbyWorkspaces Accorde l'autorisation de créer un ou plusieurs Standby WorkSpaces Écrire

directoryid*

workspaceid*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateTags Accorde l'autorisation de créer des balises pour les WorkSpaces ressources Identification

aws:RequestTag/${TagKey}

aws:TagKeys

CreateUpdatedWorkspaceImage Accorde l'autorisation de créer une WorkSpace image mise à jour Écrire

workspaceimage*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateWorkspaceBundle Accorde l'autorisation de créer un WorkSpace bundle Écrire

workspacebundle*

workspaces:CreateTags

workspaceimage*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateWorkspaceImage Accorde l'autorisation de créer une nouvelle WorkSpace image Écrire

workspaceid*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateWorkspaces Accorde l'autorisation d'en créer un ou plusieurs WorkSpaces Écrire

directoryid*

workspacebundle*

workspaceid*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateWorkspacesPool Accorde l'autorisation de créer un WorkSpaces pool Écrire

directoryid*

workspacebundle*

workspacespoolid*

aws:RequestTag/${TagKey}

aws:TagKeys

DeleteAccountLinkInvitation Accorde l'autorisation de supprimer des invitations à d'autres AWS comptes afin qu'ils partagent la même configuration pour WorkSpaces BYOL Écrire
DeleteClientBranding Accorde l'autorisation de supprimer les données de marque du AWS WorkSpaces client dans un répertoire Écrire

directoryid*

DeleteConnectClientAddIn Accorde l'autorisation de supprimer une extension client Amazon Connect configurée dans un répertoire Écrire

directoryid*

DeleteConnectionAlias Accorde l'autorisation de supprimer des alias de connexion. Écriture

connectionalias*

DeleteIpGroup Accorde l'autorisation de supprimer des groupes de contrôle d'accès IP. Écrire

workspaceipgroup*

DeleteTags Accorde l'autorisation de supprimer des balises des WorkSpaces ressources Identification

aws:RequestTag/${TagKey}

aws:TagKeys

DeleteWorkspaceBundle Accorde l'autorisation de supprimer des WorkSpace bundles Écrire

workspacebundle*

DeleteWorkspaceImage Accorde l'autorisation de supprimer WorkSpace des images Écrire

workspaceimage*

DeployWorkspaceApplications Autorise le déploiement de toutes les applications d'espace de travail en attente sur un WorkSpace Écrire

workspaceid*

aws:ResourceTag/${TagKey}

DeregisterWorkspaceDirectory Accorde l'autorisation de désenregistrer les annuaires pour qu'ils ne soient plus utilisés par Amazon WorkSpaces Écrire

directoryid*

DescribeAccount Accorde l'autorisation de récupérer la configuration de Bring Your Own License (BYOL) pour les WorkSpaces comptes Lecture
DescribeAccountModifications Accorde l'autorisation de récupérer les modifications apportées à la configuration de Bring Your Own License (BYOL) pour les WorkSpaces comptes Lecture
DescribeApplicationAssociations Accorde l'autorisation de récupérer des informations sur les ressources associées à une WorkSpace application Liste

workspaceapplication*

aws:ResourceTag/${TagKey}

DescribeApplications Donne l'autorisation d'obtenir des informations sur WorkSpace les demandes Liste
DescribeBundleAssociations Accorde l'autorisation de récupérer des informations sur les ressources associées à un WorkSpace bundle Liste

workspacebundle*

aws:ResourceTag/${TagKey}

DescribeClientBranding Accorde l'autorisation de récupérer les données de marque du AWS WorkSpaces client dans un annuaire Lecture

directoryid*

DescribeClientProperties Accorde l'autorisation de récupérer des informations sur WorkSpaces les clients Liste

directoryid*

DescribeConnectClientAddIns Accorde l'autorisation de récupérer une liste des extensions client Amazon Connect qui ont été créées Liste

directoryid*

DescribeConnectionAliasPermissions Accorde l'autorisation de récupérer les autorisations que les propriétaires d'alias de connexion ont accordées à d'autres AWS comptes pour les alias de connexion Lecture

connectionalias*

DescribeConnectionAliases Accorde l'autorisation de récupérer une liste qui décrit les alias de connexion utilisés pour la redirection entre régions. Lecture
DescribeImageAssociations Accorde l'autorisation de récupérer des informations sur les ressources associées à une WorkSpace image Liste

workspaceimage*

aws:ResourceTag/${TagKey}

DescribeIpGroups Accorde l'autorisation de récupérer des informations sur les groupes de contrôle d'accès IP. Lecture

workspaceipgroup*

DescribeTags Accorde l'autorisation de décrire les balises des WorkSpaces ressources Lecture
DescribeWorkspaceAssociations Accorde l'autorisation de récupérer des informations sur les ressources associées à un WorkSpace Liste

workspaceid*

aws:ResourceTag/${TagKey}

DescribeWorkspaceBundles Accorde l'autorisation d'obtenir des informations sur les WorkSpace offres groupées Liste
DescribeWorkspaceDirectories Accorde l'autorisation de récupérer des informations sur les annuaires enregistrés auprès de WorkSpaces Lecture
DescribeWorkspaceImagePermissions Accorde l'autorisation de récupérer des informations sur les autorisations relatives aux WorkSpace images Lecture

workspaceimage*

DescribeWorkspaceImages Accorde l'autorisation de récupérer des informations sur les WorkSpace images Liste
DescribeWorkspaceSnapshots Accorde l'autorisation de récupérer des informations sur les WorkSpace instantanés Liste

workspaceid*

DescribeWorkspaces Accorde l'autorisation d'obtenir des informations sur WorkSpaces Liste
DescribeWorkspacesConnectionStatus Accorde l'autorisation d'obtenir l'état de connexion de WorkSpaces Lecture
DescribeWorkspacesPoolSessions Accorde l'autorisation de récupérer des informations sur les sessions d'un WorkSpaces pool Liste

workspacespoolid*

DescribeWorkspacesPools Accorde l'autorisation de récupérer des informations sur les WorkSpaces pools Liste
DisassociateConnectionAlias Accorde l'autorisation de dissocier des alias de connexion des répertoires. Écriture

connectionalias*

DisassociateIpGroups Accorde l'autorisation de dissocier des groupes de contrôle d'accès IP des répertoires. Écrire

directoryid*

workspaceipgroup*

DisassociateWorkspaceApplication Accorde l'autorisation de dissocier une application d'espace de travail d'un WorkSpace Écrire

workspaceapplication*

workspaceid*

aws:ResourceTag/${TagKey}

Accorde l'autorisation de récupérer un lien avec un autre AWS compte afin de partager la configuration pour WorkSpaces BYOL Lecture
ImportClientBranding Autorise l'importation des données de marque du AWS WorkSpaces client dans un annuaire Écrire

directoryid*

ImportWorkspaceImage Autorise l'importation d'images Bring Your Own License (BYOL) sur Amazon WorkSpaces Écrire

ec2:DescribeImages

ec2:ModifyImageAttribute

Accorde l'autorisation de récupérer des liens avec le ou les AWS comptes qui partagent votre configuration pour WorkSpaces BYOL Liste
ListAvailableManagementCidrRanges Accorde l'autorisation de répertorier les CIDR plages disponibles pour activer Bring Your Own License (BYOL) pour les WorkSpaces comptes Liste
MigrateWorkspace Accorde l'autorisation de migrer WorkSpaces Écrire

workspacebundle*

workspaceid*

ModifyAccount Accorde l'autorisation de modifier la configuration de Bring Your Own License (BYOL) pour les WorkSpaces comptes Écrire
ModifyCertificateBasedAuthProperties Accorde l'autorisation de modifier les propriétés d'autorisation basées sur les certificats d'un répertoire Écrire

directoryid*

ModifyClientProperties Accorde l'autorisation de modifier les propriétés des WorkSpaces clients Écrire

directoryid*

ModifySamlProperties Accorde l'autorisation de modifier les SAML propriétés d'un répertoire Écrire

directoryid*

ModifySelfservicePermissions Autorise vos utilisateurs à modifier les fonctionnalités WorkSpace de gestion en libre-service Gestion des autorisations

directoryid*

ModifyStreamingProperties Accorde l'autorisation de modifier les propriétés de diffusion Écrire

directoryid*

ModifyWorkspaceAccessProperties Accorde l'autorisation de spécifier les appareils et systèmes d'exploitation que les utilisateurs peuvent utiliser pour accéder à leurs WorkSpaces Écrire

directoryid*

ModifyWorkspaceCreationProperties Accorde l'autorisation de modifier les propriétés par défaut utilisées pour créer WorkSpaces Écrire

directoryid*

ModifyWorkspaceProperties Accorde l'autorisation de modifier les WorkSpace propriétés, y compris le mode d'exécution et la AutoStop période Écrire

workspaceid*

ModifyWorkspaceState Accorde l'autorisation de modifier l'état de WorkSpaces Écrire

workspaceid*

RebootWorkspaces Accorde l'autorisation de redémarrer WorkSpaces Écrire

workspaceid*

RebuildWorkspaces Donne l'autorisation de reconstruire WorkSpaces Écrire

workspaceid*

RegisterWorkspaceDirectory Accorde l'autorisation d'enregistrer des annuaires à utiliser avec Amazon WorkSpaces Écrire

directoryid*

aws:RequestTag/${TagKey}

aws:TagKeys

RejectAccountLinkInvitation Accorde l'autorisation de rejeter les invitations d'autres AWS comptes à partager la même configuration pour WorkSpaces BYOL Écrire
RestoreWorkspace Accorde l'autorisation de restauration WorkSpaces Écrire

workspaceid*

RevokeIpRules Accorde l'autorisation de supprimer des règles des groupes de contrôle d'accès IP. Écrire

workspaceipgroup*

workspaces:UpdateRulesOfIpGroup

StartWorkspaces Accorde l'autorisation de démarrer AutoStop WorkSpaces Écrire

workspaceid*

StartWorkspacesPool Accorde l'autorisation de démarrer un WorkSpaces pool Écrire

workspacespoolid*

StopWorkspaces Donne l'autorisation d'arrêter AutoStop WorkSpaces Écrire

workspaceid*

StopWorkspacesPool Autorise l'arrêt d'un WorkSpaces pool Écrire

workspacespoolid*

Stream Accorde l'autorisation aux utilisateurs fédérés de se connecter à l'aide de leurs informations d'identification existantes et de diffuser leur espace de travail Écrire

directoryid*

workspaces:userId

TerminateWorkspaces Accorde l'autorisation de résilier WorkSpaces Écrire

workspaceid*

TerminateWorkspacesPool Accorde l'autorisation de mettre fin à un WorkSpaces pool Écrire

workspacespoolid*

TerminateWorkspacesPoolSession Accorde l'autorisation de mettre fin à une session de WorkSpaces pool Écrire
UpdateConnectClientAddIn Accorde l'autorisation de mettre à jour une extension client Amazon Connect. Utilisez cette action pour mettre à jour le nom et le point URL de terminaison d'un complément client Amazon Connect Écrire

directoryid*

UpdateConnectionAliasPermission Accorde l'autorisation de partager ou d'annuler le partage des alias de connexion avec d'autres comptes. Gestion des autorisations

connectionalias*

UpdateRulesOfIpGroup Accorde l'autorisation de remplacer des règles des groupes de contrôle d'accès IP. Écrire

workspaceipgroup*

workspaces:AuthorizeIpRules

workspaces:RevokeIpRules

UpdateWorkspaceBundle Autorise la mise à jour des WorkSpace images utilisées dans les WorkSpace bundles Écrire

workspacebundle*

workspaceimage*

UpdateWorkspaceImagePermission Accorde l'autorisation de partager ou d'annuler le partage d' WorkSpace images avec d'autres comptes en spécifiant si les autres comptes sont autorisés à copier l'image Gestion des autorisations

workspaceimage*

UpdateWorkspacesPool Accorde l'autorisation de mettre à jour le WorkSpaces pool Écrire

workspacespoolid*

Types de ressources définis par Amazon WorkSpaces

Les types de ressources suivants sont définis par ce service et peuvent être utilisés dans l'Resourceélément des déclarations de politique d'IAMautorisation. Chaque action du tableau Actions identifie les types de ressources pouvant être spécifiés avec cette action. Un type de ressource peut également définir les clés de condition que vous pouvez inclure dans une politique. Ces clés sont affichées dans la dernière colonne du tableau. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Types de ressources.

Types de ressources ARN Clés de condition
directoryid arn:${Partition}:workspaces:${Region}:${Account}:directory/${DirectoryId}

aws:ResourceTag/${TagKey}

workspacebundle arn:${Partition}:workspaces:${Region}:${Account}:workspacebundle/${BundleId}

aws:ResourceTag/${TagKey}

workspaceid arn:${Partition}:workspaces:${Region}:${Account}:workspace/${WorkspaceId}

aws:ResourceTag/${TagKey}

workspaceimage arn:${Partition}:workspaces:${Region}:${Account}:workspaceimage/${ImageId}

aws:ResourceTag/${TagKey}

workspaceipgroup arn:${Partition}:workspaces:${Region}:${Account}:workspaceipgroup/${GroupId}

aws:ResourceTag/${TagKey}

workspacespoolid arn:${Partition}:workspaces:${Region}:${Account}:workspacespool/${PoolId}

aws:ResourceTag/${TagKey}

connectionalias arn:${Partition}:workspaces:${Region}:${Account}:connectionalias/${ConnectionAliasId}

aws:ResourceTag/${TagKey}

workspaceapplication arn:${Partition}:workspaces:${Region}:${Account}:workspaceapplication/${WorkSpaceApplicationId}

aws:ResourceTag/${TagKey}

Clés de condition pour Amazon WorkSpaces

Amazon WorkSpaces définit les clés de condition suivantes qui peuvent être utilisées dans l'Conditionélément d'une IAM politique. Vous pouvez utiliser ces clés pour affiner les conditions d'application de la déclaration de politique. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Clés de condition.

Pour afficher les clés de condition globales disponibles pour tous les services, consultez Clés de condition globales disponibles.

Clés de condition Description Type
aws:RequestTag/${TagKey} Filtre l'accès en fonction des identifications transmises dans la demande Chaîne
aws:ResourceTag/${TagKey} Filtre l'accès en fonction des identifications associées à la ressource Chaîne
aws:TagKeys Filtre l'accès en fonction des clés d'identification transmises dans la demande ArrayOfString
workspaces:userId Filtre l'accès en fonction de l'ID de l'utilisateur Workspaces Chaîne