AWS kebijakan terkelola untuk WorkSpaces - Amazon WorkSpaces
AmazonWorkSpacesAdminAmazonWorkspacesPCAAccessAmazonWorkSpacesSelfServiceAccessAmazonWorkSpacesServiceAccessAmazonWorkSpacesPoolServiceAccesWorkSpaces pembaruan kebijakan AWS terkelola

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS kebijakan terkelola untuk WorkSpaces

Menggunakan kebijakan AWS terkelola membuat menambahkan izin ke pengguna, grup, dan peran lebih mudah daripada menulis kebijakan sendiri. Butuh waktu dan keahlian untuk membuat kebijakan terkelola IAM pelanggan yang hanya memberi tim Anda izin yang mereka butuhkan. Gunakan kebijakan AWS terkelola untuk memulai dengan cepat. Kebijakan ini mencakup kasus penggunaan umum dan tersedia di AWS akun Anda. Untuk informasi selengkapnya tentang kebijakan AWS AWS terkelola, lihat kebijakan terkelola di Panduan IAM Pengguna.

AWS layanan memelihara dan memperbarui kebijakan AWS terkelola. Anda tidak dapat mengubah izin dalam kebijakan AWS terkelola. Layanan terkadang dapat menambahkan izin tambahan ke kebijakan AWS terkelola untuk mendukung fitur baru. Jenis pembaruan ini akan memengaruhi semua identitas (pengguna, grup, dan peran) di mana kebijakan tersebut dilampirkan. Layanan kemungkinan besar akan memperbarui kebijakan AWS terkelola saat fitur baru diluncurkan atau saat operasi baru tersedia. Layanan tidak menghapus izin dari kebijakan AWS terkelola, sehingga pembaruan kebijakan tidak akan merusak izin yang ada.

Selain itu, AWS mendukung kebijakan terkelola untuk fungsi pekerjaan yang mencakup beberapa layanan. Misalnya, kebijakan ReadOnlyAccess AWS terkelola menyediakan akses hanya-baca ke semua AWS layanan dan sumber daya. Saat layanan meluncurkan fitur baru, AWS menambahkan izin hanya-baca untuk operasi dan sumber daya baru. Untuk daftar dan deskripsi kebijakan fungsi pekerjaan, lihat kebijakan AWS terkelola untuk fungsi pekerjaan di Panduan IAM Pengguna.

AWS kebijakan terkelola: AmazonWorkSpacesAdmin

Kebijakan ini menyediakan akses ke tindakan WorkSpaces administratif Amazon. Ini memberikan izin berikut:

  • workspaces- Memungkinkan akses untuk melakukan tindakan administratif pada sumber daya WorkSpaces Pribadi dan WorkSpaces Kolam.

  • kms- Memungkinkan akses ke daftar dan mendeskripsikan KMS kunci, serta daftar alias.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AmazonWorkSpacesAdmin",
            "Effect": "Allow",
            "Action": [
                "kms:DescribeKey",
                "kms:ListAliases",
                "kms:ListKeys",
                "workspaces:CreateTags",
                "workspaces:CreateWorkspaceImage",
                "workspaces:CreateWorkspaces",
                "workspaces:CreateWorkspacesPool",
                "workspaces:CreateStandbyWorkspaces",
                "workspaces:DeleteTags",
                "workspaces:DeregisterWorkspaceDirectory",
                "workspaces:DescribeTags",
                "workspaces:DescribeWorkspaceBundles",
                "workspaces:DescribeWorkspaceDirectories",
                "workspaces:DescribeWorkspaces",
                "workspaces:DescribeWorkspacesPools",
                "workspaces:DescribeWorkspacesPoolSessions",
                "workspaces:DescribeWorkspacesConnectionStatus",
                "workspaces:ModifyCertificateBasedAuthProperties",
                "workspaces:ModifySamlProperties",
                "workspaces:ModifyStreamingProperties",
                "workspaces:ModifyWorkspaceCreationProperties",
                "workspaces:ModifyWorkspaceProperties",
                "workspaces:RebootWorkspaces",
                "workspaces:RebuildWorkspaces",
                "workspaces:RegisterWorkspaceDirectory",
                "workspaces:RestoreWorkspace",
                "workspaces:StartWorkspaces",
                "workspaces:StartWorkspacesPool",
                "workspaces:StopWorkspaces",
                "workspaces:StopWorkspacesPool",
                "workspaces:TerminateWorkspaces",
                "workspaces:TerminateWorkspacesPool",
                "workspaces:TerminateWorkspacesPoolSession",
                "workspaces:UpdateWorkspacesPool"
            ],
            "Resource": "*"
        }
    ]
}

AWS kebijakan terkelola: AmazonWorkspaces PCAAccess

Kebijakan terkelola ini menyediakan akses ke sumber daya AWS Certificate Manager Private Certificate Authority (Private CA) di AWS akun Anda untuk otentikasi berbasis sertifikat. Ini termasuk dalam AmazonWorkSpaces PCAAccess peran, dan memberikan izin berikut:

  • acm-pca- Memungkinkan akses ke AWS Private CA untuk mengelola otentikasi berbasis sertifikat.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "acm-pca:IssueCertificate",
                "acm-pca:GetCertificate",
                "acm-pca:DescribeCertificateAuthority"
            ],
            "Resource": "arn:*:acm-pca:*:*:*",
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/euc-private-ca": "*"
                }
            }
        }
    ]
}

AWS kebijakan terkelola: AmazonWorkSpacesSelfServiceAccess

Kebijakan ini menyediakan akses ke WorkSpaces layanan Amazon untuk melakukan tindakan WorkSpaces layanan mandiri yang dimulai oleh pengguna. Ini termasuk dalam workspaces_DefaultRole peran, dan memberikan izin berikut:

  • workspaces- Memungkinkan akses ke kemampuan WorkSpaces manajemen swalayan untuk pengguna.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "workspaces:RebootWorkspaces",
                "workspaces:RebuildWorkspaces",
                "workspaces:ModifyWorkspaceProperties"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

AWS kebijakan terkelola: AmazonWorkSpacesServiceAccess

Kebijakan ini menyediakan akses akun pelanggan ke WorkSpaces layanan Amazon untuk meluncurkan file WorkSpace. Ini termasuk dalam workspaces_DefaultRole peran, dan memberikan izin berikut:

  • ec2- Memungkinkan akses untuk mengelola EC2 sumber daya Amazon yang terkait dengan WorkSpace, seperti antarmuka jaringan.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ec2:CreateNetworkInterface",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeNetworkInterfaces"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

AWS kebijakan terkelola: AmazonWorkSpacesPoolServiceAccess

Kebijakan ini digunakan di ruang kerja_DefaultRole, yang WorkSpaces digunakan untuk mengakses sumber daya yang diperlukan di AWS akun pelanggan untuk Pools. WorkSpaces Untuk informasi selengkapnya, lihat Buat ruang kerja_ DefaultRole Peran. Ini memberikan izin berikut:

  • ec2- Memungkinkan akses untuk mengelola EC2 sumber daya Amazon yang terkait dengan WorkSpaces PoolVPCs, seperti subnet, zona ketersediaan, grup keamanan, dan tabel rute.

  • s3- Memungkinkan akses untuk melakukan tindakan pada bucket Amazon S3 yang diperlukan untuk log, pengaturan aplikasi, dan fitur Home Folder.

Commercial Wilayah AWS

Kebijakan berikut JSON berlaku untuk komersial Wilayah AWS.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ProvisioningWorkSpacesPoolPermissions",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeRouteTables",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "WorkSpacesPoolS3Permissions",
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:ListBucket",
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:GetObjectVersion",
                "s3:DeleteObjectVersion",
                "s3:GetBucketPolicy",
                "s3:PutBucketPolicy",
                "s3:PutEncryptionConfiguration"
            ],
            "Resource": [
                "arn:aws:s3:::wspool-logs-*",
                "arn:aws:s3:::wspool-app-settings-*",
                "arn:aws:s3:::wspool-home-folder-*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        }
    ]
}
AWS GovCloud (US) Regions

Kebijakan berikut JSON berlaku untuk komersial AWS GovCloud (US) Regions.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ProvisioningWorkSpacesPoolPermissions",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeRouteTables",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "WorkSpacesPoolS3Permissions",
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:ListBucket",
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:GetObjectVersion",
                "s3:DeleteObjectVersion",
                "s3:GetBucketPolicy",
                "s3:PutBucketPolicy",
                "s3:PutEncryptionConfiguration"
            ],
            "Resource": [
                "arn:aws-us-gov:s3:::wspool-logs-*",
                "arn:aws-us-gov:s3:::wspool-app-settings-*",
                "arn:aws-us-gov:s3:::wspool-home-folder-*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        }
    ]
}

WorkSpaces pembaruan kebijakan AWS terkelola

Lihat detail tentang pembaruan kebijakan AWS terkelola WorkSpaces sejak layanan ini mulai melacak perubahan ini.

Perubahan Deskripsi Tanggal
AWS kebijakan terkelola: AmazonWorkSpacesPoolServiceAccess- Ditambahkan kebijakan baru WorkSpaces menambahkan kebijakan terkelola baru untuk memberikan izin untuk melihat Amazon EC2 VPCs dan sumber daya terkait, serta untuk melihat serta mengelola bucket Amazon S3 untuk Kumpulan. WorkSpaces 24 Juni 2024
AWS kebijakan terkelola: AmazonWorkSpacesAdmin- Kebijakan yang diperbarui WorkSpaces menambahkan beberapa tindakan untuk WorkSpaces Pools ke kebijakan WorkSpacesAdmin terkelola Amazon, memberikan akses admin untuk mengelola WorkSpace sumber daya Pool. 24 Juni 2024
AWS kebijakan terkelola: AmazonWorkSpacesAdmin- Kebijakan yang diperbarui WorkSpaces menambahkan workspaces:RestoreWorkspace tindakan ke kebijakan WorkSpacesAdmin terkelola Amazon, memberikan akses admin untuk memulihkan. WorkSpaces Juni 25, 2023
AWS kebijakan terkelola: AmazonWorkspaces PCAAccess- Ditambahkan kebijakan baru WorkSpaces menambahkan kebijakan terkelola baru untuk memberikan acm-pca izin mengelola AWS Private CA untuk mengelola otentikasi berbasis sertifikat. 18 November 2022
WorkSpaces mulai melacak perubahan WorkSpaces mulai melacak perubahan untuk kebijakan yang WorkSpaces dikelola. 1 Maret 2021