AWS 受管理的政策 WorkSpaces - Amazon WorkSpaces
AmazonWorkSpacesAdminAmazonWorkspacesPCAAccessAmazonWorkSpacesSelfServiceAccessAmazonWorkSpacesServiceAccessAmazonWorkSpacesPoolServiceAccesWorkSpaces AWS 受管理策略的更新

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS 受管理的政策 WorkSpaces

使用 AWS 受管理的原則可讓新增使用者、群組和角色的權限,比自己撰寫政策更容易。建立IAM客戶管理的政策需要時間和專業知識,以便為您的團隊提供他們所需的權限。使用 AWS 受管理的原則快速開始使用。這些政策涵蓋常見使用案例,並可在您的 AWS 帳戶中使用。如需有關 AWS 受管理策略的詳細資訊,請參閱IAM使用指南中的AWS 受管理策略

AWS 服務會維護和更新 AWS 受管理的策略。您無法變更 AWS 受管理原則中的權限。服務有時可能會新增其他權限至受 AWS 管理的政策,以支援新功能。此類型的更新會影響已連接政策的所有身分識別 (使用者、群組和角色)。當新功能啟動或新作業可用時,服務最有可能更新 AWS 受管理的策略。服務不會從 AWS 受管理的政策移除權限,因此政策更新不會破壞您現有的權限。

此外,還 AWS 支援跨多個服務之工作職能的受管理原則。例如,ReadOnlyAccess AWS 受管理的策略提供對所有 AWS 服務和資源的唯讀存取權。當服務啟動新功能時, AWS 會為新的操作和資源新增唯讀許可。如需工作職能原則的清單與說明,請參閱《IAM使用指南》的工作職能AWS 受管理原則

AWS 受管理的策略: AmazonWorkSpacesAdmin

此政策可讓您存取 Amazon WorkSpaces 管理動作。其可提供下列許可:

  • workspaces-允許存取對「 WorkSpaces 個人」和「 WorkSpaces 集區」資源執行管理動作。

  • kms-允許訪問列表和描述KMS密鑰以及列表別名。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AmazonWorkSpacesAdmin",
            "Effect": "Allow",
            "Action": [
                "kms:DescribeKey",
                "kms:ListAliases",
                "kms:ListKeys",
                "workspaces:CreateTags",
                "workspaces:CreateWorkspaceImage",
                "workspaces:CreateWorkspaces",
                "workspaces:CreateWorkspacesPool",
                "workspaces:CreateStandbyWorkspaces",
                "workspaces:DeleteTags",
                "workspaces:DeregisterWorkspaceDirectory",
                "workspaces:DescribeTags",
                "workspaces:DescribeWorkspaceBundles",
                "workspaces:DescribeWorkspaceDirectories",
                "workspaces:DescribeWorkspaces",
                "workspaces:DescribeWorkspacesPools",
                "workspaces:DescribeWorkspacesPoolSessions",
                "workspaces:DescribeWorkspacesConnectionStatus",
                "workspaces:ModifyCertificateBasedAuthProperties",
                "workspaces:ModifySamlProperties",
                "workspaces:ModifyStreamingProperties",
                "workspaces:ModifyWorkspaceCreationProperties",
                "workspaces:ModifyWorkspaceProperties",
                "workspaces:RebootWorkspaces",
                "workspaces:RebuildWorkspaces",
                "workspaces:RegisterWorkspaceDirectory",
                "workspaces:RestoreWorkspace",
                "workspaces:StartWorkspaces",
                "workspaces:StartWorkspacesPool",
                "workspaces:StopWorkspaces",
                "workspaces:StopWorkspacesPool",
                "workspaces:TerminateWorkspaces",
                "workspaces:TerminateWorkspacesPool",
                "workspaces:TerminateWorkspacesPoolSession",
                "workspaces:UpdateWorkspacesPool"
            ],
            "Resource": "*"
        }
    ]
}

AWS 受管理的策略: AmazonWorkspacesPCAAccess

此受管理原則可讓您存取 AWS 您 AWS 帳戶中的 Certificate Manager 專用憑證授權單位 (Private CA) 資源,以進行憑證型驗證。它包含在 AmazonWorkSpacesPCAAccess角色中,並提供下列權限:

  • acm-pca-允許存取 AWS 私有 CA 以管理憑證型驗證。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "acm-pca:IssueCertificate",
                "acm-pca:GetCertificate",
                "acm-pca:DescribeCertificateAuthority"
            ],
            "Resource": "arn:*:acm-pca:*:*:*",
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/euc-private-ca": "*"
                }
            }
        }
    ]
}

AWS 受管理的策略: AmazonWorkSpacesSelfServiceAccess

此政策提供對 Amazon WorkSpaces 服務的存取權,以執行使用者啟動的 WorkSpaces 自助服務動作。其包含在 workspaces_DefaultRole 角色中,並提供下列許可:

  • workspaces-允許使用者存取自助 WorkSpaces 管理功能。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "workspaces:RebootWorkspaces",
                "workspaces:RebuildWorkspaces",
                "workspaces:ModifyWorkspaceProperties"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

AWS 受管理的策略: AmazonWorkSpacesServiceAccess

此政策提供客戶帳戶存取 Amazon WorkSpaces 服務以啟動 WorkSpace. 其包含在 workspaces_DefaultRole 角色中,並提供下列許可:

  • ec2-允許存取管理與網路界面相關聯的 Amazon EC2 資源。 WorkSpace

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ec2:CreateNetworkInterface",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeNetworkInterfaces"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

AWS 受管理的策略: AmazonWorkSpacesPoolServiceAccess

此策略用於工作區 _DefaultRole,該工作區 WorkSpaces 用於訪問客戶 AWS 帳戶中的「集區」中所需的資源。 WorkSpaces 如需詳細資訊,請參閱 建立工作區 _ 角色 DefaultRole 。其可提供下列許可:

  • ec2-允許存取管理與 WorkSpaces 集區關聯的 Amazon EC2 資源,例如VPCs子網路、可用區域、安全群組和路由表。

  • s3-允許存取對日誌、應用程式設定和主資料夾功能所需的 Amazon S3 儲存貯體執行動作。

Commercial AWS 區域

以下政策JSON適用於商業 AWS 區域。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ProvisioningWorkSpacesPoolPermissions",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeRouteTables",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "WorkSpacesPoolS3Permissions",
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:ListBucket",
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:GetObjectVersion",
                "s3:DeleteObjectVersion",
                "s3:GetBucketPolicy",
                "s3:PutBucketPolicy",
                "s3:PutEncryptionConfiguration"
            ],
            "Resource": [
                "arn:aws:s3:::wspool-logs-*",
                "arn:aws:s3:::wspool-app-settings-*",
                "arn:aws:s3:::wspool-home-folder-*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        }
    ]
}
AWS GovCloud (US) Regions

以下政策JSON適用於商業 AWS GovCloud (US) Regions。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ProvisioningWorkSpacesPoolPermissions",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeRouteTables",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "WorkSpacesPoolS3Permissions",
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:ListBucket",
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:GetObjectVersion",
                "s3:DeleteObjectVersion",
                "s3:GetBucketPolicy",
                "s3:PutBucketPolicy",
                "s3:PutEncryptionConfiguration"
            ],
            "Resource": [
                "arn:aws-us-gov:s3:::wspool-logs-*",
                "arn:aws-us-gov:s3:::wspool-app-settings-*",
                "arn:aws-us-gov:s3:::wspool-home-folder-*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        }
    ]
}

WorkSpaces AWS 受管理策略的更新

檢視 WorkSpaces 自此服務開始追蹤這些變更以來的 AWS 受管理策略更新詳細資料。

變更 描述 日期
AWS 受管理的策略: AmazonWorkSpacesPoolServiceAccess - 新增的政策。 WorkSpaces 新增了新的受管政策,以授予檢視 Amazon EC2 VPCs 和相關資源的權限,以及檢視和管理適用於 WorkSpaces 集區的 Amazon S3 儲存貯體。 2024年6月24日
AWS 受管理的策略: AmazonWorkSpacesAdmin - 更新的政策 WorkSpaces 在 Amazon WorkSpacesAdmin 受管政策中新增了幾個 WorkSpaces 集區動作,授予管理員管理 WorkSpace 集區資源的存取權。 2024年6月24日
AWS 受管理的策略: AmazonWorkSpacesAdmin - 更新的政策 WorkSpaces 將該workspaces:RestoreWorkspace操作添加到 Amazon WorkSpacesAdmin 託管策略中,授予管理員還原的訪問權限 WorkSpaces。 2023 年 6 月 25 日
AWS 受管理的策略: AmazonWorkspacesPCAAccess - 新增的政策。 WorkSpaces 已新增受管理原則,以acm-pca授與管理 AWS Private CA 以管理憑證型驗證的權限。 2022 年 11 月 18 日
WorkSpaces 開始追蹤變更 WorkSpaces 開始追蹤其 WorkSpaces 受管理策略的變更。 2021 年 3 月 1 日