AWS 的托管策略 WorkSpaces - Amazon WorkSpaces
AmazonWorkSpacesAdminAmazonWorkspacesPCAAccessAmazonWorkSpacesSelfServiceAccessAmazonWorkSpacesServiceAccessAmazonWorkSpacesPoolServiceAccesWorkSpaces AWS 托管策略的更新

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS 的托管策略 WorkSpaces

与自己编写策略相比,使用 AWS 托管策略可以更轻松地向用户、群组和角色添加权限。创建IAM客户托管策略以仅向您的团队提供他们所需的权限需要时间和专业知识。使用 AWS 托管策略快速入门。这些政策涵盖常见用例,可在您的 AWS 账户中使用。有关 AWS 托管策略的更多信息,请参阅《IAM用户指南》中的AWS 托管策略

AWS 服务维护和更新 AWS 托管策略。您无法更改 AWS 托管策略中的权限。服务偶尔可能会向 AWS 托管策略添加其他权限以支持新功能。此类更新会影响附加策略的所有身份(用户、组和角色)。当推出新功能或有新操作可用时,服务最有可能更新 AWS 托管策略。服务不会从 AWS 托管策略中移除权限,因此策略更新不会破坏您的现有权限。

此外,还 AWS 支持跨多个服务的工作职能的托管策略。例如,ReadOnlyAccess AWS 托管策略提供对所有 AWS 服务和资源的只读访问权限。当服务启动新特征时, AWS 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅《IAM用户指南》中的工作职能AWS 托管策略

AWS 托管策略: AmazonWorkSpacesAdmin

该政策允许访问Amazon的 WorkSpaces 管理操作。它提供以下权限:

  • workspaces-允许访问对 WorkSpaces 个人资源和资源 WorkSpaces 池资源执行管理操作。

  • kms-允许访问列出和描述KMS密钥以及列表别名。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AmazonWorkSpacesAdmin",
            "Effect": "Allow",
            "Action": [
                "kms:DescribeKey",
                "kms:ListAliases",
                "kms:ListKeys",
                "workspaces:CreateTags",
                "workspaces:CreateWorkspaceImage",
                "workspaces:CreateWorkspaces",
                "workspaces:CreateWorkspacesPool",
                "workspaces:CreateStandbyWorkspaces",
                "workspaces:DeleteTags",
                "workspaces:DeregisterWorkspaceDirectory",
                "workspaces:DescribeTags",
                "workspaces:DescribeWorkspaceBundles",
                "workspaces:DescribeWorkspaceDirectories",
                "workspaces:DescribeWorkspaces",
                "workspaces:DescribeWorkspacesPools",
                "workspaces:DescribeWorkspacesPoolSessions",
                "workspaces:DescribeWorkspacesConnectionStatus",
                "workspaces:ModifyCertificateBasedAuthProperties",
                "workspaces:ModifySamlProperties",
                "workspaces:ModifyStreamingProperties",
                "workspaces:ModifyWorkspaceCreationProperties",
                "workspaces:ModifyWorkspaceProperties",
                "workspaces:RebootWorkspaces",
                "workspaces:RebuildWorkspaces",
                "workspaces:RegisterWorkspaceDirectory",
                "workspaces:RestoreWorkspace",
                "workspaces:StartWorkspaces",
                "workspaces:StartWorkspacesPool",
                "workspaces:StopWorkspaces",
                "workspaces:StopWorkspacesPool",
                "workspaces:TerminateWorkspaces",
                "workspaces:TerminateWorkspacesPool",
                "workspaces:TerminateWorkspacesPoolSession",
                "workspaces:UpdateWorkspacesPool"
            ],
            "Resource": "*"
        }
    ]
}

AWS 托管策略: AmazonWorkspacesPCAAccess

此托管策略允许访问您 AWS 账户中的 Certifice Manager 私有证书颁发机构(私有 CA)资源,以进行基于证书的身份验证。 AWS 它包含在 AmazonWorkSpacesPCAAccess角色中,并提供以下权限:

  • acm-pca-允许访问 AWS 私有 CA 以管理基于证书的身份验证。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "acm-pca:IssueCertificate",
                "acm-pca:GetCertificate",
                "acm-pca:DescribeCertificateAuthority"
            ],
            "Resource": "arn:*:acm-pca:*:*:*",
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/euc-private-ca": "*"
                }
            }
        }
    ]
}

AWS 托管策略: AmazonWorkSpacesSelfServiceAccess

该政策允许用户访问 Amazon WorkSpaces 服务,以执行由用户发起的 WorkSpaces 自助操作。它包含在 workspaces_DefaultRole 角色中,它提供以下权限:

  • workspaces-允许用户访问自助 WorkSpaces 管理功能。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "workspaces:RebootWorkspaces",
                "workspaces:RebuildWorkspaces",
                "workspaces:ModifyWorkspaceProperties"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

AWS 托管策略: AmazonWorkSpacesServiceAccess

本政策允许客户账户访问亚马逊 WorkSpaces 服务,以启动 WorkSpace。它包含在 workspaces_DefaultRole 角色中,它提供以下权限:

  • ec2-允许访问管理与关联的 Amazon EC2 资源 WorkSpace,例如网络接口。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ec2:CreateNetworkInterface",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeNetworkInterfaces"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

AWS 托管策略: AmazonWorkSpacesPoolServiceAccess

此策略用于 workspaces_DefaultRole,它 WorkSpaces 用于访问客户 AWS 账户中必需的 Pools 资源。 WorkSpaces 有关更多信息,请参阅创建工作空间_ 角色 DefaultRole 。它提供以下权限:

  • ec2-允许访问管理与 WorkSpaces 池关联的 Amazon EC2 资源VPCs,例如子网、可用区、安全组和路由表。

  • s3-允许访问对日志、应用程序设置和主文件夹功能所需的 Amazon S3 存储桶执行操作。

Commercial AWS 区域

以下政策JSON适用于广告 AWS 区域。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ProvisioningWorkSpacesPoolPermissions",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeRouteTables",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "WorkSpacesPoolS3Permissions",
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:ListBucket",
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:GetObjectVersion",
                "s3:DeleteObjectVersion",
                "s3:GetBucketPolicy",
                "s3:PutBucketPolicy",
                "s3:PutEncryptionConfiguration"
            ],
            "Resource": [
                "arn:aws:s3:::wspool-logs-*",
                "arn:aws:s3:::wspool-app-settings-*",
                "arn:aws:s3:::wspool-home-folder-*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        }
    ]
}
AWS GovCloud (US) Regions

以下政策JSON适用于广告 AWS GovCloud (US) Regions。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ProvisioningWorkSpacesPoolPermissions",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeRouteTables",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "WorkSpacesPoolS3Permissions",
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:ListBucket",
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:GetObjectVersion",
                "s3:DeleteObjectVersion",
                "s3:GetBucketPolicy",
                "s3:PutBucketPolicy",
                "s3:PutEncryptionConfiguration"
            ],
            "Resource": [
                "arn:aws-us-gov:s3:::wspool-logs-*",
                "arn:aws-us-gov:s3:::wspool-app-settings-*",
                "arn:aws-us-gov:s3:::wspool-home-folder-*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        }
    ]
}

WorkSpaces AWS 托管策略的更新

查看 WorkSpaces 自该服务开始跟踪这些更改以来 AWS 托管策略更新的详细信息。

更改 描述 日期
AWS 托管策略: AmazonWorkSpacesPoolServiceAccess - 添加了新策略 WorkSpaces 添加了新的托管策略,以授予查看亚马逊EC2VPCs和相关资源以及查看和管理 WorkSpaces 池的 Amazon S3 存储桶的权限。 2024 年 6 月 24 日
AWS 托管策略: AmazonWorkSpacesAdmin:更新策略 WorkSpaces 在 Amazon WorkSpacesAdmin 托管策略中为 WorkSpaces 池添加了多项操作,授予管理员管理 WorkSpace 池资源的权限。 2024 年 6 月 24 日
AWS 托管策略: AmazonWorkSpacesAdmin:更新策略 WorkSpaces 将workspaces:RestoreWorkspace操作添加到 Amazon WorkSpacesAdmin 托管策略中,授予管理员恢复 WorkSpaces权限。 2023 年 6 月 25 日
AWS 托管策略: AmazonWorkspacesPCAAccess - 添加了新策略 WorkSpaces 添加了一个新的托管策略,用于授予管理 AWS 私有 CA 以管理基于证书的身份验证的acm-pca权限。 2022 年 11 月 18 日
WorkSpaces 开始跟踪更改 WorkSpaces 开始跟踪其 WorkSpaces 托管策略的更改。 2021 年 3 月 1 日