Usando funções vinculadas ao serviço para WorkSpaces o Secure Browser - WorkSpaces Navegador Amazon Secure

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando funções vinculadas ao serviço para WorkSpaces o Secure Browser

O Amazon WorkSpaces Secure Browser usa AWS Identity and Access Management funções vinculadas ao serviço (IAM). Uma função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente ao WorkSpaces Secure Browser. As funções vinculadas ao serviço são predefinidas pelo WorkSpaces Secure Browser e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.

Uma função vinculada ao serviço facilita a configuração do Navegador WorkSpaces Seguro porque você não precisa adicionar manualmente as permissões necessárias. WorkSpaces O Navegador Seguro define as permissões de suas funções vinculadas ao serviço e, a menos que seja definido de outra forma, somente o Navegador WorkSpaces Seguro pode assumir suas funções. As permissões definidas incluem as políticas de confiança e de permissões. A política de permissões não pode ser anexada a nenhuma outra entidade do IAM.

Você só pode excluir um perfil vinculado a serviço depois de excluir os recursos relacionados. Isso protege seus recursos do Navegador WorkSpaces Seguro porque você não pode remover inadvertidamente a permissão para acessar os recursos.

Para obter informações sobre outros serviços compatíveis com funções vinculadas a serviços, consulte Serviços da AWS compatíveis com o IAM e procure os serviços que apresentam Sim na coluna Função vinculada a serviço. Escolha um Sim com um link para visualizar a documentação do perfil vinculado a esse serviço.

Permissões de função vinculadas ao serviço para WorkSpaces o Secure Browser

WorkSpaces O Secure Browser usa a função vinculada ao serviço chamada AWSServiceRoleForAmazonWorkSpacesWeb — O WorkSpaces Secure Browser usa essa função vinculada ao serviço para acessar recursos do Amazon EC2 de contas de clientes para instâncias e métricas de streaming. CloudWatch

A função vinculada ao serviço AWSServiceRoleForAmazonWorkSpacesWeb confia nos seguintes serviços para aceitar a função:

  • workspaces-web.amazonaws.com

A política de permissões de função denominada AmazonWorkSpacesWebServiceRolePolicy permite que o WorkSpaces Secure Browser conclua as seguintes ações nos recursos especificados. Para ter mais informações, consulte AWS política gerenciada: AmazonWorkSpacesWebServiceRolePolicy.

  • Ação: ec2:DescribeVpcs em all AWS resources

  • Ação: ec2:DescribeSubnets em all AWS resources

  • Ação: ec2:DescribeAvailabilityZones em all AWS resources

  • Ação: ec2:CreateNetworkInterface com aws:RequestTag/WorkSpacesWebManaged: true em recursos de sub-rede e grupo de segurança

  • Ação: ec2:DescribeNetworkInterfaces em all AWS resources

  • Ação: ec2:DeleteNetworkInterface em interfaces de rede com aws:ResourceTag/WorkSpacesWebManaged: true

  • Ação: ec2:DescribeSubnets em all AWS resources

  • Ação: ec2:AssociateAddress em all AWS resources

  • Ação: ec2:DisassociateAddress em all AWS resources

  • Ação: ec2:DescribeRouteTables em all AWS resources

  • Ação: ec2:DescribeSecurityGroups em all AWS resources

  • Ação: ec2:DescribeVpcEndpoints em all AWS resources

  • Ação: ec2:CreateTags na operação ec2:CreateNetworkInterface com aws:TagKeys: ["WorkSpacesWebManaged"]

  • Ação: cloudwatch:PutMetricData em all AWS resources

  • Ação: kinesis:PutRecord em fluxos de dados do Kinesis com nomes que começam com amazon-workspaces-web-

  • Ação: kinesis:PutRecords em fluxos de dados do Kinesis com nomes que começam com amazon-workspaces-web-

  • Ação: kinesis:DescribeStreamSummary em fluxos de dados do Kinesis com nomes que começam com amazon-workspaces-web-

Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua uma função vinculada a serviço. Para mais informações, consulte Permissões de perfil vinculado ao serviço no Guia do usuário do IAM.

Criação de uma função vinculada ao serviço para WorkSpaces o Secure Browser

Não é necessário criar manualmente uma função vinculada a serviço. Quando você cria seu primeiro portal na AWS Management Console, na ou na AWS API AWS CLI, o WorkSpaces Secure Browser cria a função vinculada ao serviço para você.

Importante

Esse perfil vinculado ao serviço pode aparecer em sua conta se você concluiu uma ação em outro serviço que usa os atributos compatíveis com esse perfil.

Se excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, você poderá usar esse mesmo processo para recriar o perfil em sua conta. Quando você cria seu primeiro portal, o WorkSpaces Secure Browser cria a função vinculada ao serviço para você novamente.

Você também pode usar o console do IAM para criar uma função vinculada ao serviço com o caso de uso do WorkSpaces Secure Browser. Na AWS CLI ou na AWS API, crie uma função vinculada ao serviço com o nome do workspaces-web.amazonaws.com serviço. Para obter mais informações, consulte Criar uma função vinculada ao serviço no Guia do usuário do IAM. Se você excluir essa função vinculada ao serviço, será possível usar esse mesmo processo para criar a função novamente.

Editando uma função vinculada ao serviço para WorkSpaces o Secure Browser

WorkSpaces O Secure Browser não permite que você edite a função AWSServiceRoleForAmazonWorkSpacesWeb vinculada ao serviço. Depois que você criar um perfil vinculado ao serviço, não poderá alterar o nome do perfil, pois várias entidades podem fazer referência ao perfil. No entanto, você poderá editar a descrição do perfil usando o IAM. Para obter mais informações, consulte Editar uma função vinculada a serviço no Guia do usuário do IAM.

Excluindo uma função vinculada ao serviço para o Secure Browser WorkSpaces

Se você não precisar mais usar um recurso ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar os recursos de sua função vinculada ao serviço antes de excluí-la manualmente.

nota

Se o serviço Navegador WorkSpaces Seguro estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.

Para excluir os recursos do Navegador WorkSpaces Seguro usados pelo AWSServiceRoleForAmazonWorkSpacesWeb
  • Escolha uma das seguintes opções:

    • Se você usa o console, exclua todos os seus portais no console.

    • Se você usa a CLI ou a API, desassocie todos os seus recursos (incluindo configurações do navegador, configurações de rede, configurações do usuário, armazenamentos confiáveis e configurações de registro de acesso do usuário) dos seus portais, exclua esses recursos e exclua os portais.

Como excluir manualmente a função vinculada a serviço usando o IAM

Use o console do IAM AWS CLI, o ou a AWS API para excluir a função AWSServiceRoleForAmazonWorkSpacesWeb vinculada ao serviço. Para mais informações, consulte Excluir um perfil vinculado ao serviço no Guia do usuário do IAM.

Regiões suportadas para funções vinculadas ao serviço WorkSpaces Secure Browser

WorkSpaces O Secure Browser oferece suporte ao uso de funções vinculadas ao serviço em todas as regiões em que o serviço está disponível. Para obter mais informações, consulte Regiões e endpoints da AWS.