As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Gerenciamento de identidade e acesso para WorkSpaces
Por padrão, os usuários do IAM não têm permissões para WorkSpaces recursos e operações. Para permitir que os usuários do IAM gerenciem WorkSpaces recursos, você deve criar uma política do IAM que conceda permissões explicitamente e anexar a política aos usuários ou grupos do IAM que exigem essas permissões.
**nota**
A Amazon WorkSpaces não oferece suporte ao provisionamento de credenciais do IAM em um WorkSpace (como com um perfil de instância).
Para conceder acesso, adicione as permissões aos seus usuários, grupos ou perfis:
+ Usuários e grupos em Centro de Identidade do AWS IAM:
Crie um conjunto de permissões. Siga as instruções em [Criação de um conjunto de permissões](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.
+ Usuários gerenciados no IAM com provedor de identidades:
Crie um perfil para a federação de identidades. Siga as instruções em [Criando um perfil para um provedor de identidades de terceiros (federação)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) no *Guia do Usuário do IAM*.
+ Usuários do IAM:
+ Crie um perfil que seu usuário possa assumir. Siga as instruções em [Criação de um perfil para um usuário do IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) no *Guia do usuário do IAM*.
+ (Não recomendado) Vincule uma política diretamente a um usuário ou adicione um usuário a um grupo de usuários. Siga as instruções em [Adição de permissões a um usuário (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) no *Guia do usuário do IAM*.
A seguir estão os recursos adicionais para o IAM:
+ Para obter mais informações gerais sobre as políticas do IAM, consulte [Permissões e políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) no *Guia do usuário do IAM*.
+ Para obter mais informações sobre o IAM, consulte [Identity and Access Management (IAM)](https://aws.amazon.com/iam) e o [https://docs.aws.amazon.com/IAM/latest/UserGuide/](https://docs.aws.amazon.com/IAM/latest/UserGuide/).
+ Para obter mais informações sobre recursos, ações e chaves de contexto de condição WorkSpaces específicos para uso nas políticas de permissão do IAM, consulte [Ações, recursos e chaves de condição para a Amazon WorkSpaces](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonworkspaces.html) no *Guia do usuário do IAM*.
+ Para obter uma ferramenta que ajuda a criar políticas do IAM, consulte o [AWS Policy Generator](https://aws.amazon.com/blogs/aws/aws-policy-generator/). Também é possível usar o [simulador de políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UsingPolicySimulatorGuide/) para testar se uma política permitiria ou negaria uma solicitação específica à AWS.
**Topics**
+ [Exemplo de política](#workspaces-example-iam-policies)
+ [Especificar WorkSpaces recursos em uma política do IAM](#wsp_iam_resource)
+ [Crie os espaços de trabalho\$1 Role DefaultRole](#create-default-role)
+ [Crie a função AmazonWorkSpaces PCAAccess de serviço](#create-pca-access-role)
+ [AWS políticas gerenciadas para WorkSpaces](managed-policies.md)
+ [Acesso WorkSpaces e scripts em instâncias de streaming](using-iam-roles-to-grant-permissions-to-applications-scripts-streaming-instances.md)
+ [Referência de permissões de operações do Amazon WorkSpaces Console](wsp-console-permissions-ref.md)
## Exemplo de política
Os exemplos a seguir mostram declarações de política que você pode usar para controlar as permissões que os usuários do IAM têm na Amazon WorkSpaces.
### Exemplo 1: Conceder acesso para realizar tarefas WorkSpaces pessoais e de grupos
A declaração de política a seguir concede permissão ao usuário do IAM para realizar tarefas WorkSpaces pessoais e de grupos.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:*",
"workspaces:*",
"application-autoscaling:DeleteScalingPolicy",
"application-autoscaling:DeleteScheduledAction",
"application-autoscaling:DeregisterScalableTarget",
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"application-autoscaling:PutScalingPolicy",
"application-autoscaling:PutScheduledAction",
"application-autoscaling:RegisterScalableTarget",
"cloudwatch:DeleteAlarms",
"cloudwatch:DescribeAlarms",
"cloudwatch:PutMetricAlarm",
"ec2:AssociateRouteTable",
"ec2:AttachInternetGateway",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateInternetGateway",
"ec2:CreateNetworkInterface",
"ec2:CreateRoute",
"ec2:CreateRouteTable",
"ec2:CreateSecurityGroup",
"ec2:CreateSubnet",
"ec2:CreateTags",
"ec2:CreateVpc",
"ec2:DeleteNetworkInterface",
"ec2:DeleteSecurityGroup",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeInternetGateways",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"iam:AttachRolePolicy",
"iam:CreatePolicy",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:PutRolePolicy",
"kms:ListAliases",
"kms:ListKeys",
"secretsmanager:ListSecrets",
"tag:GetResources",
"sso-directory:SearchUsers",
"sso:CreateApplication",
"sso:DeleteApplication",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:GetApplicationGrant",
"sso:ListInstances",
"sso:PutApplicationAssignmentConfiguration",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "workspaces.amazonaws.com"
}
}
}
]
}
```
------
### Exemplo 2: Conceder acesso para realizar tarefas WorkSpaces pessoais
A declaração de política a seguir concede permissão ao usuário do IAM para realizar todas as tarefas WorkSpaces pessoais.
Embora a Amazon ofereça suporte WorkSpaces total aos `Resource` elementos `Action` e ao usar a API e as ferramentas de linha de comando, para usar a Amazon a WorkSpaces partir do Console de gerenciamento da AWS, um usuário do IAM deve ter permissões para as seguintes ações e recursos:
+ Ações: `"ds:*"`
+ Recursos: `"Resource": "*"`
O exemplo de política a seguir mostra como permitir que um usuário do IAM use a Amazon a WorkSpaces partir do Console de gerenciamento da AWS.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"workspaces:*",
"ds:*",
"iam:GetRole",
"iam:CreateRole",
"iam:PutRolePolicy",
"iam:CreatePolicy",
"iam:AttachRolePolicy",
"iam:ListRoles",
"kms:ListAliases",
"kms:ListKeys",
"ec2:CreateVpc",
"ec2:CreateSubnet",
"ec2:CreateNetworkInterface",
"ec2:CreateInternetGateway",
"ec2:CreateRouteTable",
"ec2:CreateRoute",
"ec2:CreateTags",
"ec2:CreateSecurityGroup",
"ec2:DescribeInternetGateways",
"ec2:DescribeSecurityGroups",
"ec2:DescribeRouteTables",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeAvailabilityZones",
"ec2:AttachInternetGateway",
"ec2:AssociateRouteTable",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:DeleteSecurityGroup",
"ec2:DeleteNetworkInterface",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"secretsmanager:ListSecrets",
"sso-directory:SearchUsers",
"sso:CreateApplication",
"sso:DeleteApplication",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:GetApplicationGrant",
"sso:ListInstances",
"sso:PutApplicationAssignmentConfiguration",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "workspaces.amazonaws.com"
}
}
}
]
}
```
------
### Exemplo 3: Conceder acesso para realizar tarefas de WorkSpaces pools
A declaração de política a seguir concede a um usuário do IAM permissão para realizar todas as tarefas do WorkSpaces Pools.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"workspaces:*",
"application-autoscaling:DeleteScalingPolicy",
"application-autoscaling:DeleteScheduledAction",
"application-autoscaling:DeregisterScalableTarget",
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"application-autoscaling:PutScalingPolicy",
"application-autoscaling:PutScheduledAction",
"application-autoscaling:RegisterScalableTarget",
"cloudwatch:DeleteAlarms",
"cloudwatch:DescribeAlarms",
"cloudwatch:PutMetricAlarm",
"ec2:CreateSecurityGroup",
"ec2:CreateTags",
"ec2:DescribeInternetGateways",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"iam:AttachRolePolicy",
"iam:CreatePolicy",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:PutRolePolicy",
"secretsmanager:ListSecrets",
"tag:GetResources"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "workspaces.amazonaws.com"
}
}
},
{
"Action": "iam:CreateServiceLinkedRole",
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/aws-service-role/workspaces.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_WorkSpacesPool",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "workspaces.application-autoscaling.amazonaws.com"
}
}
}
]
}
```
------
### Exemplo 4: Executar todas as WorkSpaces tarefas para BYOL WorkSpaces
A declaração de política a seguir concede a um usuário do IAM permissão para realizar todas as WorkSpaces tarefas, incluindo as tarefas do Amazon EC2 necessárias para criar Bring Your Own License (BYOL). WorkSpaces
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:*",
"workspaces:*",
"ec2:AssociateRouteTable",
"ec2:AttachInternetGateway",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateInternetGateway",
"ec2:CreateNetworkInterface",
"ec2:CreateRoute",
"ec2:CreateRouteTable",
"ec2:CreateSecurityGroup",
"ec2:CreateSubnet",
"ec2:CreateTags",
"ec2:CreateVpc",
"ec2:DeleteNetworkInterface",
"ec2:DeleteSecurityGroup",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeImages",
"ec2:DescribeInternetGateways",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:ModifyImageAttribute",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"iam:CreateRole",
"iam:GetRole",
"iam:PutRolePolicy",
"kms:ListAliases",
"kms:ListKeys"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "workspaces.amazonaws.com"
}
}
}
]
}
```
------
## Especificar WorkSpaces recursos em uma política do IAM
Para especificar um WorkSpaces recurso no `Resource` elemento da declaração de política, use o Amazon Resource Name (ARN) do recurso. Você controla o acesso aos seus WorkSpaces recursos ao permitir ou negar permissões para usar as ações de API especificadas no `Action` elemento da sua declaração de política do IAM. WorkSpaces define ARNs para WorkSpaces, pacotes, grupos IP e diretórios.
### WorkSpace ARN
Um WorkSpace ARN tem a sintaxe mostrada no exemplo a seguir.
```
arn:aws:workspaces:region:account_id:workspace/workspace_identifier
```
*region*
A região em que o WorkSpace está (por exemplo,`us-east-1`).
*account\$1id*
O ID da AWS conta, sem hífens (por exemplo,`123456789012`).
*workspace\$1identifier*
O ID do WorkSpace (por exemplo,`ws-a1bcd2efg`).
A seguir está o formato do `Resource` elemento de uma declaração de política que identifica um elemento específico WorkSpace.
```
"Resource": "arn:aws:workspaces:region:account_id:workspace/workspace_identifier"
```
Você pode usar o `*` curinga para especificar tudo o WorkSpaces que pertence a uma conta específica em uma região específica.
### WorkSpace ARN da piscina
Um ARN de WorkSpace pool tem a sintaxe mostrada no exemplo a seguir.
```
arn:aws:workspaces:region:account_id:workspacespool/workspacespool_identifier
```
*region*
A região em que o WorkSpace está (por exemplo,`us-east-1`).
*account\$1id*
O ID da AWS conta, sem hífens (por exemplo,`123456789012`).
*espaço de trabalho\$1pool\$1identifier*
O ID do WorkSpace pool (por exemplo,`ws-a1bcd2efg`).
A seguir está o formato do `Resource` elemento de uma declaração de política que identifica um elemento específico WorkSpace.
```
"Resource": "arn:aws:workspaces:region:account_id:workspacespool/workspacespool_identifier"
```
Você pode usar o `*` curinga para especificar tudo o WorkSpaces que pertence a uma conta específica em uma região específica.
### ARN de certificado.
Um ARN de WorkSpace certificado tem a sintaxe mostrada no exemplo a seguir.
```
arn:aws:workspaces:region:account_id:workspacecertificate/workspacecertificateidentifier
```
*region*
A região em que o WorkSpace está (por exemplo,`us-east-1`).
*account\$1id*
O ID da AWS conta, sem hífens (por exemplo,`123456789012`).
*workspacecertificate\$1identifier*
O ID do WorkSpace certificado (por exemplo,`ws-a1bcd2efg`).
A seguir está o formato do `Resource` elemento de uma declaração de política que identifica um WorkSpace certificado específico.
```
"Resource": "arn:aws:workspaces:region:account_id:workspacecertificate/workspacecertificate_identifier"
```
Você pode usar o `*` curinga para especificar tudo o WorkSpaces que pertence a uma conta específica em uma região específica.
### ARN de imagem
Um ARN de WorkSpace imagem tem a sintaxe mostrada no exemplo a seguir.
```
arn:aws:workspaces:region:account_id:workspaceimage/image_identifier
```
*region*
A região em que a WorkSpace imagem está (por exemplo,`us-east-1`).
*account\$1id*
O ID da AWS conta, sem hífens (por exemplo,`123456789012`).
*bundle\$1identifier*
O ID da WorkSpace imagem (por exemplo,`wsi-a1bcd2efg`).
Veja a seguir o formato do elemento `Resource` de uma declaração de política que identifica uma imagem específica.
```
"Resource": "arn:aws:workspaces:region:account_id:workspaceimage/image_identifier"
```
É possível usar o caractere curinga `*` para especificar todas as imagens que pertencem a uma conta específica em determinada região.
### ARN de pacote
Um ARN de pacote tem a sintaxe mostrada no exemplo a seguir.
```
arn:aws:workspaces:region:account_id:workspacebundle/bundle_identifier
```
*region*
A região em que o WorkSpace está (por exemplo,`us-east-1`).
*account\$1id*
O ID da AWS conta, sem hífens (por exemplo,`123456789012`).
*bundle\$1identifier*
O ID do WorkSpace pacote (por exemplo,`wsb-a1bcd2efg`).
Veja a seguir o formato do elemento `Resource` de uma declaração de política que identifica um pacote específico.
```
"Resource": "arn:aws:workspaces:region:account_id:workspacebundle/bundle_identifier"
```
É possível usar o caractere curinga `*` para especificar todos os pacotes que pertencem a uma conta específica em determinada região.
### ARN do grupo de IP
Um ARN de grupo IP tem a sintaxe mostrada no exemplo a seguir.
```
arn:aws:workspaces:region:account_id:workspaceipgroup/ipgroup_identifier
```
*region*
A região em que o WorkSpace está (por exemplo,`us-east-1`).
*account\$1id*
O ID da AWS conta, sem hífens (por exemplo,`123456789012`).
*ipgroup\$1identifier*
O ID do grupo de IP (por exemplo, `wsipg-a1bcd2efg`).
Veja a seguir o formato do elemento `Resource` de uma declaração de política que identifica um grupo de IP específico.
```
"Resource": "arn:aws:workspaces:region:account_id:workspaceipgroup/ipgroup_identifier"
```
É possível usar o caractere curinga `*` para especificar todos os grupos de IP que pertencem a uma conta específica determinada região.
### ARN do diretório
Um ARN de diretório tem a sintaxe mostrada no exemplo a seguir.
```
arn:aws:workspaces:region:account_id:directory/directory_identifier
```
*region*
A região em que o WorkSpace está (por exemplo,`us-east-1`).
*account\$1id*
O ID da AWS conta, sem hífens (por exemplo,`123456789012`).
*directory\$1identifier*
O ID do diretório (por exemplo, `d-12345a67b8`).
Veja a seguir o formato do elemento `Resource` de uma declaração de política que identifica um diretório específico.
```
"Resource": "arn:aws:workspaces:region:account_id:directory/directory_identifier"
```
É possível usar o caractere curinga `*` para especificar todos os diretórios que pertencem a uma conta específica em determinada região.
### ARN de alias de conexão
Um ARN de alias de conexão tem a sintaxe mostrada no exemplo a seguir.
```
arn:aws:workspaces:region:account_id:connectionalias/connectionalias_identifier
```
*region*
A região em que o alias da conexão está (por exemplo, `us-east-1`).
*account\$1id*
O ID da AWS conta, sem hífens (por exemplo,`123456789012`).
*connectionalias\$1identifier*
O ID do alias de conexão (por exemplo, `wsca-12345a67b8`).
Veja a seguir o formato do elemento `Resource` de uma declaração de política que identifica um alias de conexão específico.
```
"Resource": "arn:aws:workspaces:region:account_id:connectionalias/connectionalias_identifier"
```
É possível usar o caractere curinga `*` para especificar todos os alias de conexão que pertencem a uma conta específica em determinada região.
### Ações da API sem suporte de permissões no nível de recurso
Você não pode especificar um ARN de recurso com as seguintes ações de API:
+ `AssociateIpGroups`
+ `CreateIpGroup`
+ `CreateTags`
+ `DeleteTags`
+ `DeleteWorkspaceImage`
+ `DescribeAccount`
+ `DescribeAccountModifications`
+ `DescribeIpGroups`
+ `DescribeTags`
+ `DescribeWorkspaceDirectories`
+ `DescribeWorkspaceImages`
+ `DescribeWorkspaces`
+ `DescribeWorkspacesConnectionStatus`
+ `DisassociateIpGroups`
+ `ImportWorkspaceImage`
+ `ListAvailableManagementCidrRanges`
+ `ModifyAccount`
Para ações de API que não oferecem suporte a permissões no nível de recurso, é necessário especificar a instrução de recurso mostrada no exemplo a seguir.
```
"Resource": "*"
```
### Ações de API que não oferecem suporte a restrições no nível de conta em recursos compartilhados
Para as seguintes ações da API, você não pode especificar um ID de conta no ARN do recurso quando o recurso não é de propriedade da conta:
+ `AssociateConnectionAlias`
+ `CopyWorkspaceImage`
+ `DisassociateConnectionAlias`
Para essas ações da API, você pode especificar um ID de conta no ARN do recurso somente quando essa conta é a proprietária dos recursos a serem usados. Quando a conta não é a proprietária dos recursos, você deve especificar `*` para o ID da conta, conforme mostrado no exemplo a seguir.
```
"arn:aws:workspaces:region:*:resource_type/resource_identifier"
```
## Crie os espaços de trabalho\$1 Role DefaultRole
Antes de registrar um diretório usando a API, você deve verificar se existe um perfil chamado `workspaces_DefaultRole`. Essa função é criada pela Configuração rápida ou se você iniciar uma WorkSpace usando a Console de gerenciamento da AWS, e concede à Amazon WorkSpaces permissão para acessar AWS recursos específicos em seu nome. Se esse perfil não existir, você poderá criá-lo usando o procedimento a seguir.
**Para criar a função workspaces\$1 DefaultRole**
1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação à esquerda, escolha **Roles (Funções)**.
1. Selecione **Criar perfil**.
1. Em **Selecionar tipo de entidade confiável**, selecione **Outra conta da AWS **.
1. Em **ID da conta**, insira seu ID de conta sem hífens ou espaços.
1. Em **Opções**, não especifique a autenticação multifator (MFA).
1. Escolha **Próximo: Permissões**.
1. Na página **Anexar políticas de permissões**, selecione as políticas AWS gerenciadas **AmazonWorkSpacesServiceAccess**AmazonWorkSpacesSelfServiceAccess****, **AmazonWorkSpacesPoolServiceAccess**e. Para obter mais informações sobre políticas gerenciadas, consulte [AWS políticas gerenciadas para WorkSpaces](managed-policies.md).
1. Em **Definir limite de permissões**, recomendamos que você não use um limite de permissões devido ao potencial para conflitos com as políticas anexadas à esse perfil. Tais conflitos podem bloquear determinadas permissões necessárias para a função.
1. Escolha **Próximo: tags**.
1. Na página **Adicionar tags (opcional)**, adicione tags se necessário.
1. Selecione **Próximo: revisar**.
1. Na página **Revisar**, em **Nome da função**, insira **workspaces\$1DefaultRole**.
1. (Opcional ) Em **Descrição da função**, insira uma descrição.
1. Selecione **Criar função**.
1. Na página **Resumo** da DefaultRole função workspaces\$1, escolha a guia Relações de **confiança**.
1. Na guia **Relações de confiança**, escolha **Editar relação de confiança**.
1. Na página **Editar relação de confiança**, substitua a declaração de política existente pela declaração a seguir.
```
{
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "workspaces.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
1. Selecione **Atualizar política de confiança**.
## Crie a função AmazonWorkSpaces PCAAccess de serviço
Antes que os usuários possam fazer login usando a autenticação baseada em certificado, você deve verificar se existe um perfil chamado `AmazonWorkSpacesPCAAccess`. Essa função é criada quando você habilita a autenticação baseada em certificado em um diretório usando o. Ela Console de gerenciamento da AWS concede à Amazon WorkSpaces permissão para acessar CA Privada da AWS recursos em seu nome. Se esse perfil não existir porque você não está usando o console para gerenciar a autenticação baseada em certificado, você poderá criá-lo usando o procedimento a seguir.
**Para criar a função AmazonWorkSpaces PCAAccess de serviço usando o AWS CLI**
1. Crie um arquivo JSON denominado `AmazonWorkSpacesPCAAccess.json` com o texto a seguir.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "prod.euc.ecm.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Ajuste o `AmazonWorkSpacesPCAAccess.json` caminho conforme necessário e execute os AWS CLI comandos a seguir para criar a função de serviço e anexar a política [AmazonWorkspacesPCAAccess](managed-policies.md#workspaces-pca-access)gerenciada.
```
aws iam create-role --path /service-role/ --role-name AmazonWorkSpacesPCAAccess --assume-role-policy-document file://AmazonWorkSpacesPCAAccess.json
```
```
aws iam attach-role-policy —role-name AmazonWorkSpacesPCAAccess —policy-arn arn:aws:iam::aws:policy/AmazonWorkspacesPCAAccess
```