Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Gestion des identités et des accès pour WorkSpaces
Par défaut, les utilisateurs IAM ne sont pas autorisés à accéder aux WorkSpaces ressources et aux opérations. Pour permettre aux utilisateurs IAM de gérer les WorkSpaces ressources, vous devez créer une stratégie IAM qui leur accorde explicitement des autorisations, et associer cette politique aux utilisateurs ou aux groupes IAM qui ont besoin de ces autorisations.
**Note**
Amazon WorkSpaces ne prend pas en charge le provisionnement d'informations d'identification IAM dans un WorkSpace (comme dans le cas d'un profil d'instance).
Pour activer l’accès, ajoutez des autorisations à vos utilisateurs, groupes ou rôles :
+ Utilisateurs et groupes dans AWS IAM Identity Center :
Créez un jeu d’autorisations. Suivez les instructions de la rubrique [Création d’un jeu d’autorisations](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) du *Guide de l’utilisateur AWS IAM Identity Center *.
+ Utilisateurs gérés dans IAM par un fournisseur d’identité :
Créez un rôle pour la fédération d’identité. Suivez les instructions de la rubrique [Création d’un rôle pour un fournisseur d’identité tiers (fédération)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) dans le *Guide de l’utilisateur IAM*.
+ Utilisateurs IAM :
+ Créez un rôle que votre utilisateur peut assumer. Suivez les instructions de la rubrique [Création d’un rôle pour un utilisateur IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) dans le *Guide de l’utilisateur IAM*.
+ (Non recommandé) Attachez une politique directement à un utilisateur ou ajoutez un utilisateur à un groupe d’utilisateurs. Suivez les instructions de la rubrique [Ajout d’autorisations à un utilisateur (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) du *Guide de l’utilisateur IAM*.
Vous trouverez ci-dessous des ressources supplémentaires pour IAM :
+ Pour plus d'informations sur les politiques IAM, consultez [Politiques et autorisations](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dans le *Guide de l'utilisateur IAM*.
+ Pour plus d'informations sur IAM, consultez [Gestion des identités et des accès (IAM)](https://aws.amazon.com/iam) et le [https://docs.aws.amazon.com/IAM/latest/UserGuide/](https://docs.aws.amazon.com/IAM/latest/UserGuide/).
+ Pour plus d'informations sur les ressources, les actions et les clés contextuelles de condition WorkSpaces spécifiques à utiliser dans les politiques d'autorisation IAM, consultez la section [Actions, ressources et clés de condition pour Amazon WorkSpaces](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonworkspaces.html) dans le guide de l'utilisateur *IAM*.
+ Pour obtenir un outil qui vous aide à créer des politiques IAM, consultez le billet de blog [AWS Policy Generator](https://aws.amazon.com/blogs/aws/aws-policy-generator/). Vous pouvez également utiliser le [simulateur de politiques IAM](https://docs.aws.amazon.com/IAM/latest/UsingPolicySimulatorGuide/) pour tester si une stratégie autorise ou refuse une demande spécifique à AWS.
**Topics**
+ [Exemples de politiques](#workspaces-example-iam-policies)
+ [Spécifier WorkSpaces les ressources dans une politique IAM](#wsp_iam_resource)
+ [Création du rôle workspaces\$1 DefaultRole](#create-default-role)
+ [Création du rôle AmazonWorkSpaces PCAAccess de service](#create-pca-access-role)
+ [AWS politiques gérées pour WorkSpaces](managed-policies.md)
+ [Accès aux instances de streaming WorkSpaces et scripts y afférents](using-iam-roles-to-grant-permissions-to-applications-scripts-streaming-instances.md)
+ [Référence des autorisations relatives aux opérations sur Amazon WorkSpaces Console](wsp-console-permissions-ref.md)
## Exemples de politiques
Les exemples suivants présentent des déclarations de politique que vous pouvez utiliser pour contrôler les autorisations accordées aux utilisateurs d'IAM sur Amazon WorkSpaces.
### Exemple 1 : accorder l'accès pour effectuer des tâches WorkSpaces personnelles et des tâches de groupe
La déclaration de politique suivante accorde à un utilisateur IAM l'autorisation d'effectuer des tâches WorkSpaces personnelles et des tâches de pool.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:*",
"workspaces:*",
"application-autoscaling:DeleteScalingPolicy",
"application-autoscaling:DeleteScheduledAction",
"application-autoscaling:DeregisterScalableTarget",
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"application-autoscaling:PutScalingPolicy",
"application-autoscaling:PutScheduledAction",
"application-autoscaling:RegisterScalableTarget",
"cloudwatch:DeleteAlarms",
"cloudwatch:DescribeAlarms",
"cloudwatch:PutMetricAlarm",
"ec2:AssociateRouteTable",
"ec2:AttachInternetGateway",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateInternetGateway",
"ec2:CreateNetworkInterface",
"ec2:CreateRoute",
"ec2:CreateRouteTable",
"ec2:CreateSecurityGroup",
"ec2:CreateSubnet",
"ec2:CreateTags",
"ec2:CreateVpc",
"ec2:DeleteNetworkInterface",
"ec2:DeleteSecurityGroup",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeInternetGateways",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"iam:AttachRolePolicy",
"iam:CreatePolicy",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:PutRolePolicy",
"kms:ListAliases",
"kms:ListKeys",
"secretsmanager:ListSecrets",
"tag:GetResources",
"sso-directory:SearchUsers",
"sso:CreateApplication",
"sso:DeleteApplication",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:GetApplicationGrant",
"sso:ListInstances",
"sso:PutApplicationAssignmentConfiguration",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "workspaces.amazonaws.com"
}
}
}
]
}
```
------
### Exemple 2 : accorder l'accès pour effectuer des tâches WorkSpaces personnelles
La déclaration de politique suivante accorde à un utilisateur IAM l'autorisation d'effectuer toutes les tâches WorkSpaces personnelles.
Bien qu'Amazon WorkSpaces prenne totalement en charge les `Resource` éléments `Action` et lors de l'utilisation de l'API et des outils de ligne de commande, pour utiliser Amazon WorkSpaces depuis le AWS Management Console, un utilisateur IAM doit disposer des autorisations nécessaires pour les actions et ressources suivantes :
+ Mesures : `"ds:*"`
+ Ressources : `"Resource": "*"`
L'exemple de politique suivant montre comment autoriser un utilisateur IAM à utiliser Amazon WorkSpaces depuis le AWS Management Console.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"workspaces:*",
"ds:*",
"iam:GetRole",
"iam:CreateRole",
"iam:PutRolePolicy",
"iam:CreatePolicy",
"iam:AttachRolePolicy",
"iam:ListRoles",
"kms:ListAliases",
"kms:ListKeys",
"ec2:CreateVpc",
"ec2:CreateSubnet",
"ec2:CreateNetworkInterface",
"ec2:CreateInternetGateway",
"ec2:CreateRouteTable",
"ec2:CreateRoute",
"ec2:CreateTags",
"ec2:CreateSecurityGroup",
"ec2:DescribeInternetGateways",
"ec2:DescribeSecurityGroups",
"ec2:DescribeRouteTables",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeAvailabilityZones",
"ec2:AttachInternetGateway",
"ec2:AssociateRouteTable",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:DeleteSecurityGroup",
"ec2:DeleteNetworkInterface",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"secretsmanager:ListSecrets",
"sso-directory:SearchUsers",
"sso:CreateApplication",
"sso:DeleteApplication",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:GetApplicationGrant",
"sso:ListInstances",
"sso:PutApplicationAssignmentConfiguration",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "workspaces.amazonaws.com"
}
}
}
]
}
```
------
### Exemple 3 : accorder l'accès pour effectuer des tâches liées aux WorkSpaces pools
La déclaration de politique suivante accorde à un utilisateur IAM l'autorisation d'effectuer toutes les tâches du WorkSpaces pool.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"workspaces:*",
"application-autoscaling:DeleteScalingPolicy",
"application-autoscaling:DeleteScheduledAction",
"application-autoscaling:DeregisterScalableTarget",
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"application-autoscaling:PutScalingPolicy",
"application-autoscaling:PutScheduledAction",
"application-autoscaling:RegisterScalableTarget",
"cloudwatch:DeleteAlarms",
"cloudwatch:DescribeAlarms",
"cloudwatch:PutMetricAlarm",
"ec2:CreateSecurityGroup",
"ec2:CreateTags",
"ec2:DescribeInternetGateways",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"iam:AttachRolePolicy",
"iam:CreatePolicy",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:PutRolePolicy",
"secretsmanager:ListSecrets",
"tag:GetResources"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "workspaces.amazonaws.com"
}
}
},
{
"Action": "iam:CreateServiceLinkedRole",
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/aws-service-role/workspaces.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_WorkSpacesPool",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "workspaces.application-autoscaling.amazonaws.com"
}
}
}
]
}
```
------
### Exemple 4 : Exécuter toutes les WorkSpaces tâches pour le BYOL WorkSpaces
La déclaration de politique suivante accorde à un utilisateur IAM l'autorisation d'effectuer toutes les WorkSpaces tâches, y compris les tâches Amazon EC2 nécessaires à la création de la licence Bring Your Own License (BYOL). WorkSpaces
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:*",
"workspaces:*",
"ec2:AssociateRouteTable",
"ec2:AttachInternetGateway",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateInternetGateway",
"ec2:CreateNetworkInterface",
"ec2:CreateRoute",
"ec2:CreateRouteTable",
"ec2:CreateSecurityGroup",
"ec2:CreateSubnet",
"ec2:CreateTags",
"ec2:CreateVpc",
"ec2:DeleteNetworkInterface",
"ec2:DeleteSecurityGroup",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeImages",
"ec2:DescribeInternetGateways",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:ModifyImageAttribute",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"iam:CreateRole",
"iam:GetRole",
"iam:PutRolePolicy",
"kms:ListAliases",
"kms:ListKeys"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "workspaces.amazonaws.com"
}
}
}
]
}
```
------
## Spécifier WorkSpaces les ressources dans une politique IAM
Pour spécifier une WorkSpaces ressource dans l'`Resource`élément de la déclaration de politique, utilisez l'Amazon Resource Name (ARN) de la ressource. Vous contrôlez l'accès à vos WorkSpaces ressources en autorisant ou en refusant les autorisations d'utiliser les actions d'API spécifiées dans l'`Action`élément de votre déclaration de politique IAM. WorkSpaces définit ARNs des ensembles WorkSpaces, des groupes d'adresses IP et des annuaires.
### WorkSpace ARN
La syntaxe d'un WorkSpace ARN est celle illustrée dans l'exemple suivant.
```
arn:aws:workspaces:region:account_id:workspace/workspace_identifier
```
*region*
La région dans laquelle WorkSpace se trouve (par exemple,`us-east-1`).
*account\$1id*
L'identifiant du AWS compte, sans tiret (par exemple,`123456789012`).
*identificateur\$1espace de travail*
L'ID du WorkSpace (par exemple,`ws-a1bcd2efg`).
Voici le format de l'`Resource`élément d'une déclaration de politique qui identifie un élément spécifique WorkSpace.
```
"Resource": "arn:aws:workspaces:region:account_id:workspace/workspace_identifier"
```
Vous pouvez utiliser le `*` caractère générique pour spécifier tout WorkSpaces ce qui appartient à un compte spécifique dans une région spécifique.
### WorkSpace pool ARN
Un ARN de WorkSpace pool possède la syntaxe illustrée dans l'exemple suivant.
```
arn:aws:workspaces:region:account_id:workspacespool/workspacespool_identifier
```
*region*
La région dans laquelle WorkSpace se trouve (par exemple,`us-east-1`).
*account\$1id*
L'identifiant du AWS compte, sans tiret (par exemple,`123456789012`).
*espace de travail pool\$1identifier*
L'ID du WorkSpace pool (par exemple,`ws-a1bcd2efg`).
Voici le format de l'`Resource`élément d'une déclaration de politique qui identifie un élément spécifique WorkSpace.
```
"Resource": "arn:aws:workspaces:region:account_id:workspacespool/workspacespool_identifier"
```
Vous pouvez utiliser le `*` caractère générique pour spécifier tout WorkSpaces ce qui appartient à un compte spécifique dans une région spécifique.
### ARN du certificat
L'ARN d'un WorkSpace certificat possède la syntaxe illustrée dans l'exemple suivant.
```
arn:aws:workspaces:region:account_id:workspacecertificate/workspacecertificateidentifier
```
*region*
La région dans laquelle WorkSpace se trouve (par exemple,`us-east-1`).
*account\$1id*
L'identifiant du AWS compte, sans tiret (par exemple,`123456789012`).
*identificateur de certificat d'espace de travail*
L'ID du WorkSpace certificat (par exemple,`ws-a1bcd2efg`).
Le format de l'`Resource`élément d'une déclaration de politique identifiant un WorkSpace certificat spécifique est le suivant.
```
"Resource": "arn:aws:workspaces:region:account_id:workspacecertificate/workspacecertificate_identifier"
```
Vous pouvez utiliser le `*` caractère générique pour spécifier tout WorkSpaces ce qui appartient à un compte spécifique dans une région spécifique.
### ARN d'image
La syntaxe WorkSpace d'un ARN d'image est celle illustrée dans l'exemple suivant.
```
arn:aws:workspaces:region:account_id:workspaceimage/image_identifier
```
*region*
La région dans laquelle se trouve l' WorkSpace image (par exemple,`us-east-1`).
*account\$1id*
L'identifiant du AWS compte, sans tiret (par exemple,`123456789012`).
*bundle\$1identifier*
L'ID de l' WorkSpace image (par exemple,`wsi-a1bcd2efg`).
Voici le format de l'élément `Resource` d'une déclaration de politique qui identifie une image spécifique.
```
"Resource": "arn:aws:workspaces:region:account_id:workspaceimage/image_identifier"
```
Vous pouvez utiliser le caractère générique `*` pour spécifier toutes les images qui appartiennent à un compte spécifique dans une région donnée.
### ARN de bundle
La syntaxe d'un ARN d'offre est celle de l'exemple suivant.
```
arn:aws:workspaces:region:account_id:workspacebundle/bundle_identifier
```
*region*
La région dans laquelle WorkSpace se trouve (par exemple,`us-east-1`).
*account\$1id*
L'identifiant du AWS compte, sans tiret (par exemple,`123456789012`).
*bundle\$1identifier*
L'ID du WorkSpace bundle (par exemple,`wsb-a1bcd2efg`).
Voici le format de l'élément `Resource` d'une déclaration de stratégie qui identifie un bundle spécifique.
```
"Resource": "arn:aws:workspaces:region:account_id:workspacebundle/bundle_identifier"
```
Vous pouvez utiliser le caractère générique `*` pour spécifier tous les bundles qui appartiennent à un compte spécifique dans une région donnée.
### ARN de groupe d'IP
La syntaxe d'un ARN de groupe IP est celle de l'exemple suivant.
```
arn:aws:workspaces:region:account_id:workspaceipgroup/ipgroup_identifier
```
*region*
La région dans laquelle WorkSpace se trouve (par exemple,`us-east-1`).
*account\$1id*
L'identifiant du AWS compte, sans tiret (par exemple,`123456789012`).
*ipgroup\$1identifier*
ID du groupe d'IP (par exemple, `wsipg-a1bcd2efg`).
Voici le format de l'élément `Resource` d'une déclaration de stratégie qui identifie un groupe d'IP spécifique.
```
"Resource": "arn:aws:workspaces:region:account_id:workspaceipgroup/ipgroup_identifier"
```
Vous pouvez utiliser le caractère générique `*` pour spécifier tous les groupes d'IP qui appartiennent à un compte spécifique dans une région donnée.
### ARN d'annuaire
La syntaxe d'un ARN d'annuaire est celle de l'exemple suivant.
```
arn:aws:workspaces:region:account_id:directory/directory_identifier
```
*region*
La région dans laquelle WorkSpace se trouve (par exemple,`us-east-1`).
*account\$1id*
L'identifiant du AWS compte, sans tiret (par exemple,`123456789012`).
*directory\$1identifier*
ID de l'annuaire (par exemple, `d-12345a67b8`).
Voici le format de l'élément `Resource` d'une déclaration de stratégie qui identifie un annuaire spécifique.
```
"Resource": "arn:aws:workspaces:region:account_id:directory/directory_identifier"
```
Vous pouvez utiliser le caractère générique `*` pour spécifier tous les annuaires qui appartiennent à un compte spécifique dans une région donnée.
### ARN d'alias de connexion
La syntaxe d'un ARN d'alias de connexion est celle de l'exemple suivant.
```
arn:aws:workspaces:region:account_id:connectionalias/connectionalias_identifier
```
*region*
Région dans laquelle se trouve l'alias de connexion (par exemple,`us-east-1`).
*account\$1id*
L'identifiant du AWS compte, sans tiret (par exemple,`123456789012`).
*connectionalias\$1identifier*
ID de l'alias de connexion (par exemple,`wsca-12345a67b8`).
Voici le format de l'élément `Resource` d'une déclaration de politique qui identifie un alias de connexion spécifique.
```
"Resource": "arn:aws:workspaces:region:account_id:connectionalias/connectionalias_identifier"
```
Vous pouvez utiliser le caractère générique `*` pour spécifier tous les alias de connexion qui appartiennent à un compte spécifique dans une région donnée.
### Actions d'API sans aucune prise en charge des autorisations au niveau des ressources
Vous ne pouvez pas spécifier un ARN de ressource avec les actions d'API suivantes :
+ `AssociateIpGroups`
+ `CreateIpGroup`
+ `CreateTags`
+ `DeleteTags`
+ `DeleteWorkspaceImage`
+ `DescribeAccount`
+ `DescribeAccountModifications`
+ `DescribeIpGroups`
+ `DescribeTags`
+ `DescribeWorkspaceDirectories`
+ `DescribeWorkspaceImages`
+ `DescribeWorkspaces`
+ `DescribeWorkspacesConnectionStatus`
+ `DisassociateIpGroups`
+ `ImportWorkspaceImage`
+ `ListAvailableManagementCidrRanges`
+ `ModifyAccount`
Pour les actions d'API qui ne prennent pas en charge les autorisations au niveau des ressources, vous devez spécifier l'instruction de ressource indiquée dans l'exemple suivant.
```
"Resource": "*"
```
### Actions d'API qui ne prennent pas en charge les restrictions au niveau du compte sur les ressources partagées
Pour les actions d'API suivantes, vous ne pouvez pas spécifier d'ID de compte dans l'ARN de ressources qui n'appartiennent pas au compte :
+ `AssociateConnectionAlias`
+ `CopyWorkspaceImage`
+ `DisassociateConnectionAlias`
Pour ces actions d'API, vous pouvez spécifier un ID de compte dans l'ARN uniquement lorsque ce compte possède les ressources sur lesquelles agir. Lorsque le compte ne possède pas les ressources, vous devez spécifier `*` pour l'ID du compte, comme l'illustre l'exemple suivant.
```
"arn:aws:workspaces:region:*:resource_type/resource_identifier"
```
## Création du rôle workspaces\$1 DefaultRole
Avant de pouvoir enregistrer un annuaire à l'aide de l'API, vous devez vérifier qu'il existe un rôle nommé `workspaces_DefaultRole`. Ce rôle est créé lors de la configuration rapide ou si vous lancez un WorkSpace en utilisant le AWS Management Console, et il WorkSpaces autorise Amazon à accéder à des AWS ressources spécifiques en votre nom. Si ce rôle n'existe pas, vous pouvez le créer à l'aide de la procédure suivante.
**Pour créer le rôle workspaces\$1 DefaultRole**
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le panneau de navigation de gauche, sélectionnez **Roles** (Rôles).
1. Sélectionnez **Create role** (Créer un rôle).
1. Sous **Sélectionner un type d'entité de confiance**, choisissez **Autre compte AWS **.
1. Pour **Account ID (ID de compte)**, saisissez votre ID de compte sans tirets ni espaces.
1. Pour **Options**, ne spécifiez pas l'authentification multi-facteurs (MFA).
1. Sélectionnez **Next: Permissions** (Étape suivante : autorisations).
1. Sur la page **Joindre les politiques d'autorisation**, sélectionnez les politiques AWS gérées **AmazonWorkSpacesServiceAccess**AmazonWorkSpacesSelfServiceAccess****, et **AmazonWorkSpacesPoolServiceAccess**. Pour plus d'informations sur ces politiques gérées, consultez[AWS politiques gérées pour WorkSpaces](managed-policies.md).
1. Sous **Définir une limite d'autorisations**, nous vous recommandons de ne pas utiliser de limite d'autorisations en raison du risque de conflits avec les stratégies attachées à ce rôle. De tels conflits pourraient bloquer certaines autorisations nécessaires pour le rôle.
1. Choisissez **Suivant : Balises**.
1. Dans la page **Add tags (optional) (Ajouter des balises (facultatif))**, ajoutez des balises si nécessaire.
1. Choisissez **Suivant : Vérification**.
1. Sur la page **Vérification**, pour **Nom du rôle**, saisissez **workspaces\$1DefaultRole**.
1. (Facultatif) Pour **Role description (Description du rôle)**, entrez une description.
1. Choisissez **Create Role** (Créer un rôle).
1. Sur la page **Résumé** du DefaultRole rôle workspaces\$1, choisissez l'onglet Relations de **confiance**.
1. Dans l'onglet **Trust relationships** (Relations d'approbation), choisissez **Edit trust relationship** (Modifier la relation d'approbation).
1. Dans la page **Edit Trust Relationship (Modifier la relation d'approbation)** remplacez la déclaration de stratégie existante par la déclaration suivante.
```
{
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "workspaces.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
1. Choisissez **Mettre à jour la politique d'approbation**.
## Création du rôle AmazonWorkSpaces PCAAccess de service
Avant que les utilisateurs puissent se connecter via l'authentification basée sur des certificats, vous devez vérifier qu'il existe un rôle nommé `AmazonWorkSpacesPCAAccess`. Ce rôle est créé lorsque vous activez l'authentification basée sur des certificats sur un annuaire à l'aide du AWS Management Console, et il accorde à Amazon WorkSpaces l'autorisation d'accéder aux AWS CA privée ressources en votre nom. Si ce rôle n'existe pas parce que vous n'utilisez pas la console pour gérer l'authentification basée sur des certificats, vous pouvez le créer à l'aide de la procédure suivante.
**Pour créer le rôle de AmazonWorkSpaces PCAAccess service à l'aide du AWS CLI**
1. Créez un fichier JSON nommé `AmazonWorkSpacesPCAAccess.json` avec le texte suivant.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "prod.euc.ecm.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Ajustez le `AmazonWorkSpacesPCAAccess.json` chemin selon vos besoins et exécutez les AWS CLI commandes suivantes pour créer le rôle de service et associer la politique [AmazonWorkspacesPCAAccess](managed-policies.md#workspaces-pca-access)gérée.
```
aws iam create-role --path /service-role/ --role-name AmazonWorkSpacesPCAAccess --assume-role-policy-document file://AmazonWorkSpacesPCAAccess.json
```
```
aws iam attach-role-policy —role-name AmazonWorkSpacesPCAAccess —policy-arn arn:aws:iam::aws:policy/AmazonWorkspacesPCAAccess
```