Acesso WorkSpaces e scripts em instâncias de streaming - Amazon WorkSpaces
Melhores práticas para usar IAM funções com instâncias WorkSpaces de streamingConfigurando uma IAM função existente para usar com instâncias WorkSpaces de streamingComo criar uma IAM função para usar com instâncias WorkSpaces de streamingComo usar a IAM função com instâncias WorkSpaces de streaming

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Acesso WorkSpaces e scripts em instâncias de streaming

Os aplicativos e scripts executados em instâncias WorkSpaces de streaming devem incluir AWS credenciais em seus AWS APIsolicitações. Você pode criar uma IAM função para gerenciar essas credenciais. Uma IAM função especifica um conjunto de permissões que você pode usar para acessar AWS recursos. No entanto, essa função não está associada exclusivamente a uma pessoa. Em vez disso, ela pode ser assumida por qualquer pessoa que precise dela.

Você pode aplicar uma IAM função a uma instância WorkSpaces de streaming. Quando a instância de streaming alterna para (assume) a função, a função fornece credenciais de segurança temporárias. Seu aplicativo ou scripts usam essas credenciais para realizar API ações e tarefas de gerenciamento na instância de streaming. WorkSpaces gerencia a troca temporária de credenciais para você.

Melhores práticas para usar IAM funções com instâncias WorkSpaces de streaming

Ao usar IAM funções com instâncias WorkSpaces de streaming, recomendamos que você siga estas práticas:

  • Limite as permissões que você concede a AWS APIações e recursos.

    Siga os princípios de menor privilégio ao criar e anexar IAM políticas às IAM funções associadas às instâncias WorkSpaces de streaming. Quando você usa um aplicativo ou script que requer acesso ao AWS APIações ou recursos, determine as ações e os recursos específicos necessários. Crie políticas que permitam que o aplicativo ou o script execute somente essas ações. Para obter mais informações, consulte Conceder privilégios mínimos no Guia do IAM usuário.

  • Crie uma IAM função para cada WorkSpaces recurso.

    Criar uma IAM função exclusiva para cada WorkSpaces recurso é uma prática que segue os princípios de privilégios mínimos. Isso também permite que você modifique as permissões para um recurso sem afetar outros recursos.

  • Limite onde as credenciais podem ser usadas.

    IAMas políticas permitem definir as condições sob as quais sua IAM função pode ser usada para acessar um recurso. Por exemplo, é possível incluir condições para especificar um intervalo de endereços IP dos quais as solicitações podem vir. Isso impede que as credenciais sejam usadas fora do seu ambiente. Para obter mais informações, consulte Condições da Política de Uso para Segurança Extra no Guia IAM do Usuário.

Configurando uma IAM função existente para usar com instâncias WorkSpaces de streaming

Este tópico descreve como configurar uma IAM função existente para que você possa usá-la com WorkSpaces .

Pré-requisitos

A IAM função com a qual você deseja usar WorkSpaces deve atender aos seguintes pré-requisitos:

  • A IAM função deve estar na mesma conta da Amazon Web Services que a instância WorkSpaces de streaming.

  • A IAM função não pode ser uma função de serviço.

  • A política de relacionamento de confiança associada à IAM função deve incluir o WorkSpaces serviço como principal. Um principal é uma entidade em AWS que pode realizar ações e acessar recursos. A política também deve incluir a ação sts:AssumeRole. Essa configuração de política é definida WorkSpaces como uma entidade confiável.

  • Se você estiver aplicando a IAM função a WorkSpaces, WorkSpaces deverá executar uma versão do WorkSpaces agente lançada em ou após 3 de setembro de 2019. Se você estiver aplicando a IAM função a WorkSpaces, WorkSpaces deverá usar uma imagem que use uma versão do agente lançada na mesma data ou após ela.

Para permitir que o responsável pelo WorkSpaces serviço assuma uma IAM função existente

Para realizar as etapas a seguir, você deve entrar na conta como um IAM usuário com as permissões necessárias para listar e atualizar IAM funções. Se você não tiver as permissões necessárias, peça ao administrador da sua conta da Amazon Web Services para executar essas etapas na sua conta ou conceder as permissões necessárias.

  1. Abra o IAM console em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Perfis.

  3. Na lista de funções em sua conta, escolha o nome da função que deseja modificar.

  4. Escolha a guia Relacionamentos de confiança e, em seguida, selecione Editar relacionamento de confiança.

  5. Em Policy Document (Documento da política), verifique se a política de relacionamento de confiança inclui a ação sts:AssumeRole para o principal do serviço workspaces.amazonaws.com:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "workspaces.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  6. Ao concluir a edição da política de confiança, escolha Atualizar política de confiança para salvar as alterações.

  7. A IAM função que você selecionou será exibida no WorkSpaces console. Essa função concede permissões a aplicativos e scripts para realizar API ações e tarefas de gerenciamento em instâncias de streaming.

Como criar uma IAM função para usar com instâncias WorkSpaces de streaming

Este tópico descreve como criar uma nova IAM função para que você possa usá-la com WorkSpaces

  1. Abra o IAM console em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Perfis e Criar perfil.

  3. Em Selecionar tipo de entidade confiável, escolha AWS serviço.

  4. Da lista de AWS serviços, escolha WorkSpaces.

  5. Em Selecione seu caso de uso, WorkSpaces — Permite que WorkSpaces as instâncias chamem AWS os serviços em seu nome já estão selecionados. Selecione Next: Permissions (Próximo: permissões).

  6. Se possível, selecione a política a ser usada para a política de permissões ou escolha Create policy (Criar política) para abrir uma nova guia no navegador e criar uma nova política a partir do zero. Para obter mais informações, consulte a etapa 4 do procedimento Criando IAM políticas (console) no Guia IAM do usuário.

    Depois de criar a política, feche essa guia e retorne à guia original. Marque a caixa de seleção ao lado das políticas de permissões que você WorkSpaces deseja ter.

  7. (Opcional) Defina um limite de permissões. Esse é um atributo avançado que está disponível para perfis de serviço, mas não para perfis vinculados ao serviço. Para obter mais informações, consulte Limites de permissões para IAM entidades no Guia IAM do usuário.

  8. Escolha Próximo: etiquetas. Opcionalmente, você pode anexar tags como pares de chave/valor. Para obter mais informações, consulte Como marcar IAM usuários e funções no Guia do IAM usuário.

  9. Selecione Next: Review (Próximo: revisar).

  10. Em Nome do perfil, digite um nome de perfil exclusivo em sua conta da Amazon Web Services. Porque outros AWS os recursos podem fazer referência à função, você não pode editar o nome da função depois que ela foi criada.

  11. Em Role description (Descrição da função), mantenha a descrição da função padrão ou digite uma nova.

  12. Reveja a função e escolha Criar função.

Como usar a IAM função com instâncias WorkSpaces de streaming

Depois de criar uma IAM função, você pode aplicá-la WorkSpaces ao iniciá-la WorkSpaces. Você também pode aplicar uma IAM função a uma existente WorkSpaces.

Quando você aplica uma IAM função WorkSpaces, WorkSpaces recupera credenciais temporárias e cria o perfil de credencial workspaces_machine_role na instância. As credenciais temporárias são válidas por 1 hora, e novas credenciais são recuperadas a cada hora. As credenciais anteriores não expiram, portanto, você poderá usá-las pelo tempo que forem válidas. Você pode usar o perfil de credencial para ligar AWS serviços programaticamente usando o AWS Interface de linha de comando (AWS CLI), AWS Ferramentas para PowerShell, ou o AWS SDKcom o idioma de sua escolha.

Ao fazer as API chamadas, especifique workspaces_machine_role como o perfil de credencial. Caso contrário, haverá falha na operação devido a permissões insuficientes.

WorkSpaces assume a função especificada enquanto a instância de streaming é provisionada. Porque WorkSpaces usa a interface de rede elástica que está conectada ao seu VPC for AWS APIchamadas, seu aplicativo ou script deve esperar que a interface de rede elástica fique disponível antes de fazer AWS APIchamadas. Se as API chamadas forem feitas antes que a interface de rede elástica esteja disponível, elas falharão.

Os exemplos a seguir mostram como você pode usar o perfil de credencial workspaces_machine_role para descrever instâncias de streaming (EC2instâncias) e criar o cliente Boto. Boto é o Amazon Web Services (AWS) SDK para Python.

Descreva as instâncias de streaming (EC2instâncias) usando o AWS CLI

aws ec2 describe-instances --region us-east-1 --profile workspaces_machine_role

Descreva instâncias de streaming (EC2instâncias) usando AWS Ferramentas para PowerShell

Você deve usar AWS Ferramentas para a PowerShell versão 3.3.563.1 ou posterior, com o Amazon Web Services for. SDK NETversão 3.3.103.22 ou posterior. Você pode baixar o AWS Instalador de ferramentas para Windows, que inclui AWS Ferramentas para PowerShell e o Amazon Web Services SDK para. NET, do AWS Ferramentas para PowerShell site.

Get-EC2Instance -Region us-east-1 -ProfileName workspaces_machine_role

Criando o cliente Boto usando o AWS SDKpara Python 

session = boto3.Session(profile_name=workspaces_machine_role')