本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon WorkSpaces 安全浏览器的操作、资源和条件密钥
Amazon WorkSpaces Secure Browser(服务前缀:workspaces-web)提供以下特定于服务的资源、操作和条件上下文密钥,供在 IAM 权限策略中使用。
参考:
由 Amazon WorkSpaces 安全浏览器定义的操作
您可以在 IAM 策略语句的 Action 元素中指定以下操作。可以使用策略授予在 AWS中执行操作的权限。您在策略中使用一项操作时,通常使用相同的名称允许或拒绝对 API 操作或 CLI 命令的访问。但在某些情况下,单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。
操作表的资源类型列指示每项操作是否支持资源级权限。如果该列没有任何值,您必须在策略语句的 Resource 元素中指定策略应用的所有资源(“*”)。通过在 IAM policy 中使用条件来筛选访问权限,以控制是否可以在资源或请求中使用特定标签键。如果操作具有一个或多个必需资源,则调用方必须具有使用这些资源来使用该操作的权限。必需资源在表中以星号 (*) 表示。如果您在 IAM policy 中使用 Resource 元素限制资源访问权限,则必须为每种必需的资源类型添加 ARN 或模式。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种可选资源类型。
操作表的条件键列包括可以在策略语句的 Condition 元素中指定的键。有关与服务资源关联的条件键的更多信息,请参阅资源类型表的条件键列。
注意
资源条件键在资源类型表中列出。您可以在操作表的资源类型(* 为必需)列中找到应用于某项操作的资源类型的链接。资源类型表中的资源类型包括条件密钥列,这是应用于操作表中操作的资源条件键。
有关下表中各列的详细信息,请参阅操作表。
| 操作 | 描述 | 访问级别 | 资源类型(* 为必需) | 条件键 | 相关操作 |
|---|---|---|---|---|---|
| AssociateBrowserSettings | 授予将浏览器设置与 Web 门户关联的权限 | 写入 | |||
| AssociateIpAccessSettings | 授予将 IP 访问设置与 Web 门户关联的权限 | 写入 | |||
| AssociateNetworkSettings | 授予将网络设置与 Web 门户关联的权限 | 写入 |
ec2:CreateNetworkInterface ec2:CreateNetworkInterfacePermission ec2:CreateTags ec2:DeleteNetworkInterface ec2:DeleteNetworkInterfacePermission ec2:ModifyNetworkInterfaceAttribute |
||
| AssociateTrustStore | 授予将信任存储与 Web 门户关联的权限 | 写入 | |||
| AssociateUserAccessLoggingSettings | 授予权限以将用户访问日志记录与 Web 门户关联 | 写入 |
kinesis:PutRecord kinesis:PutRecords |
||
| AssociateUserSettings | 授予将用户设置与 Web 门户关联的权限 | 写入 | |||
| CreateBrowserSettings | 授予权限以创建浏览器设置 | 写入 |
kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey |
||
| CreateIdentityProvider | 授予权限以创建身份提供商 | 写入 | |||
| CreateIpAccessSettings | 授予创建 IP 访问设置的权限 | 写入 | |||
| CreateNetworkSettings | 授予权限以创建网络设置 | 写入 |
iam:CreateServiceLinkedRole |
||
| CreatePortal | 授予权限以创建 Web 门户 | 写入 |
iam:CreateServiceLinkedRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey |
||
| CreateTrustStore | 授予权限以创建信任存储 | 写入 | |||
| CreateUserAccessLoggingSettings | 授予权限以创建用户访问日志记录设置 | 写入 | |||
| CreateUserSettings | 授予权限以创建用户设置 | 写入 | |||
| DeleteBrowserSettings | 授予权限以删除浏览器设置 | 写入 | |||
| DeleteIdentityProvider | 授予权限以删除身份提供商 | 写入 | |||
| DeleteIpAccessSettings | 授予删除 IP 访问设置的权限 | 写入 | |||
| DeleteNetworkSettings | 授予权限以删除网络设置 | 写入 | |||
| DeletePortal | 授予权限以删除 Web 门户 | 写入 | |||
| DeleteTrustStore | 授予权限以删除信任存储 | 写入 | |||
| DeleteUserAccessLoggingSettings | 授予权限以删除用户访问日志记录设置 | 写入 | |||
| DeleteUserSettings | 授予权限以删除用户设置 | 写入 | |||
| DisassociateBrowserSettings | 授予将浏览器设置与 Web 门户取消关联的权限 | 写入 | |||
| DisassociateIpAccessSettings | 授予将 IP 访问日志记录与 Web 门户取消关联的权限 | 写入 | |||
| DisassociateNetworkSettings | 授予将网络设置与 Web 门户取消关联的权限 | 写入 | |||
| DisassociateTrustStore | 授予将信任存储与 Web 门户取消关联的权限 | 写入 | |||
| DisassociateUserAccessLoggingSettings | 授予权限以将用户访问日志记录与 Web 门户取消关联 | 写入 | |||
| DisassociateUserSettings | 授予将用户设置与 Web 门户取消关联的权限 | 写入 | |||
| GetBrowserSettings | 授予权限以获取浏览器设置的详细信息 | 读取 | |||
| GetIdentityProvider | 授予权限以获取身份提供商的详细信息 | 读取 | |||
| GetIpAccessSettings | 授予获取 IP 访问设置详细信息的权限 | 读取 | |||
| GetNetworkSettings | 授予权限以获取网络设置的详细信息 | 读取 | |||
| GetPortal | 授予权限以获取 Web 门户的详细信息 | 读取 | |||
| GetPortalServiceProviderMetadata | 授予权限以获取 Web 门户的服务提供商元数据信息 | 读取 | |||
| GetTrustStore | 授予权限以获取有关信任存储的详细信息 | 读取 | |||
| GetTrustStoreCertificate | 授予从信任存储获取证书的权限 | 读取 | |||
| GetUserAccessLoggingSettings | 授予权限以获取用户访问日志记录的详细信息 | 读取 | |||
| GetUserSettings | 授予权限以获取用户设置的详细信息 | 读取 | |||
| ListBrowserSettings | 授予权限以列出浏览器设置 | 读取 | |||
| ListIdentityProviders | 授予权限以列出身份提供商 | 读取 | |||
| ListIpAccessSettings | 授予列出 IP 访问设置的权限 | 读取 | |||
| ListNetworkSettings | 授予权限以列出网络设置 | 读取 | |||
| ListPortals | 授予权限以列出 Web 门户 | 读取 | |||
| ListTagsForResource | 授予权限以列出资源的标签 | 读取 | |||
| ListTrustStoreCertificates | 授予权限以列出信任存储中的证书 | 读取 | |||
| ListTrustStores | 授予权限以列出信任存储 | 读取 | |||
| ListUserAccessLoggingSettings | 授予权限以列出用户访问日志记录设置 | 读取 | |||
| ListUserSettings | 授予权限以列出用户设置 | 读取 | |||
| TagResource | 授予权限以将一个或多个标签添加到资源中 | Tagging | |||
| UntagResource | 授予从资源删除一个或多个标签的权限 | 标记 | |||
| UpdateBrowserSettings | 授予权限以更新浏览器设置 | 写入 | |||
| UpdateIdentityProvider | 授予权限以更新身份提供商 | 写入 | |||
| UpdateIpAccessSettings | 授予更新 IP 访问设置的权限 | 写入 | |||
| UpdateNetworkSettings | 授予权限以更新网络设置 | 写入 |
ec2:CreateNetworkInterface ec2:CreateNetworkInterfacePermission ec2:CreateTags ec2:DeleteNetworkInterface ec2:DeleteNetworkInterfacePermission ec2:ModifyNetworkInterfaceAttribute |
||
| UpdatePortal | 授予权限以更新 Web 门户 | 写入 | |||
| UpdateTrustStore | 授予权限以更新信任存储 | 写入 | |||
| UpdateUserAccessLoggingSettings | 授予权限以更新用户访问日志记录设置 | 写入 |
kinesis:PutRecord kinesis:PutRecords |
||
| UpdateUserSettings | 授予更新用户设置的权限 | 写入 |
由 Amazon WorkSpaces 安全浏览器定义的资源类型
以下资源类型是由该服务定义的,可以在 IAM 权限策略语句的 Resource 元素中使用这些资源类型。操作表中的每个操作指定了可以使用该操作指定的资源类型。您也可以在策略中包含条件键,从而定义资源类型。这些键显示在资源类型表的最后一列。有关下表中各列的详细信息,请参阅资源类型表。
| 资源类型 | ARN | 条件键 |
|---|---|---|
| browserSettings |
arn:${Partition}:workspaces-web:${Region}:${Account}:browserSettings/${BrowserSettingsId}
|
|
| identityProvider |
arn:${Partition}:workspaces-web:${Region}:${Account}:identityProvider/${PortalId}/${IdentityProviderId}
|
|
| networkSettings |
arn:${Partition}:workspaces-web:${Region}:${Account}:networkSettings/${NetworkSettingsId}
|
|
| portal |
arn:${Partition}:workspaces-web:${Region}:${Account}:portal/${PortalId}
|
|
| trustStore |
arn:${Partition}:workspaces-web:${Region}:${Account}:trustStore/${TrustStoreId}
|
|
| userSettings |
arn:${Partition}:workspaces-web:${Region}:${Account}:userSettings/${UserSettingsId}
|
|
| userAccessLoggingSettings |
arn:${Partition}:workspaces-web:${Region}:${Account}:userAccessLoggingSettings/${UserAccessLoggingSettingsId}
|
|
| ipAccessSettings |
arn:${Partition}:workspaces-web:${Region}:${Account}:ipAccessSettings/${IpAccessSettingsId}
|
Amazon WorkSpaces 安全浏览器的条件密钥
Amazon WorkSpaces 安全浏览器定义了以下条件密钥,这些条件键可用于 IAM 策略的Condition元素。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息,请参阅条件键表。
要查看适用于所有服务的全局条件键,请参阅可用的全局条件键。
| 条件键 | 描述 | 类型 |
|---|---|---|
| aws:RequestTag/${TagKey} | 按请求中传递的标签筛选访问权限 | 字符串 |
| aws:ResourceTag/${TagKey} | 按与资源关联的标签筛选访问权限 | 字符串 |
| aws:TagKeys | 按请求中传递的标签键筛选访问权限 | ArrayOfString |
