AWS 受管理的政策 WorkSpaces - Amazon WorkSpaces

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS 受管理的政策 WorkSpaces

使用 AWS 受管理的原則可讓新增使用者、群組和角色的權限,比自己撰寫政策更容易。建立IAM客戶管理的政策需要時間和專業知識,以便為您的團隊提供他們所需的權限。使用 AWS 受管理的原則快速開始使用。這些政策涵蓋常見使用案例,並可在您的 AWS 帳戶中使用。如需有關 AWS 受管理策略的詳細資訊,請參閱IAM使用指南中的AWS 受管理策略

AWS 服務會維護和更新 AWS 受管理的策略。您無法變更 AWS 受管理原則中的權限。服務有時可能會新增其他權限至受 AWS 管理的政策,以支援新功能。此類型的更新會影響已連接政策的所有身分識別 (使用者、群組和角色)。當新功能啟動或新作業可用時,服務最有可能更新 AWS 受管理的策略。服務不會從 AWS 受管理的政策移除權限,因此政策更新不會破壞您現有的權限。

此外,還 AWS 支援跨多個服務之工作職能的受管理原則。例如,ReadOnlyAccess AWS 受管理的策略提供對所有 AWS 服務和資源的唯讀存取權。當服務啟動新功能時, AWS 會為新的操作和資源新增唯讀許可。如需工作職能原則的清單與說明,請參閱《IAM使用指南》的工作職能AWS 受管理原則

AWS 受管理的策略: AmazonWorkSpacesAdmin

此政策可讓您存取 Amazon WorkSpaces 管理動作。其可提供下列許可:

  • workspaces-允許存取對「 WorkSpaces 個人」和「 WorkSpaces 集區」資源執行管理動作。

  • kms-允許訪問列表和描述KMS密鑰以及列表別名。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AmazonWorkSpacesAdmin", "Effect": "Allow", "Action": [ "kms:DescribeKey", "kms:ListAliases", "kms:ListKeys", "workspaces:CreateTags", "workspaces:CreateWorkspaceImage", "workspaces:CreateWorkspaces", "workspaces:CreateWorkspacesPool", "workspaces:CreateStandbyWorkspaces", "workspaces:DeleteTags", "workspaces:DeregisterWorkspaceDirectory", "workspaces:DescribeTags", "workspaces:DescribeWorkspaceBundles", "workspaces:DescribeWorkspaceDirectories", "workspaces:DescribeWorkspaces", "workspaces:DescribeWorkspacesPools", "workspaces:DescribeWorkspacesPoolSessions", "workspaces:DescribeWorkspacesConnectionStatus", "workspaces:ModifyCertificateBasedAuthProperties", "workspaces:ModifySamlProperties", "workspaces:ModifyStreamingProperties", "workspaces:ModifyWorkspaceCreationProperties", "workspaces:ModifyWorkspaceProperties", "workspaces:RebootWorkspaces", "workspaces:RebuildWorkspaces", "workspaces:RegisterWorkspaceDirectory", "workspaces:RestoreWorkspace", "workspaces:StartWorkspaces", "workspaces:StartWorkspacesPool", "workspaces:StopWorkspaces", "workspaces:StopWorkspacesPool", "workspaces:TerminateWorkspaces", "workspaces:TerminateWorkspacesPool", "workspaces:TerminateWorkspacesPoolSession", "workspaces:UpdateWorkspacesPool" ], "Resource": "*" } ] }

AWS 受管理的策略: AmazonWorkspacesPCAAccess

此受管理原則可讓您存取 AWS 您 AWS 帳戶中的 Certificate Manager 專用憑證授權單位 (Private CA) 資源,以進行憑證型驗證。它包含在 AmazonWorkSpacesPCAAccess角色中,並提供下列權限:

  • acm-pca-允許存取 AWS 私有 CA 以管理憑證型驗證。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "acm-pca:IssueCertificate", "acm-pca:GetCertificate", "acm-pca:DescribeCertificateAuthority" ], "Resource": "arn:*:acm-pca:*:*:*", "Condition": { "StringLike": { "aws:ResourceTag/euc-private-ca": "*" } } } ] }

AWS 受管理的策略: AmazonWorkSpacesSelfServiceAccess

此政策提供對 Amazon WorkSpaces 服務的存取權,以執行使用者啟動的 WorkSpaces 自助服務動作。其包含在 workspaces_DefaultRole 角色中,並提供下列許可:

  • workspaces-允許使用者存取自助 WorkSpaces 管理功能。

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "workspaces:RebootWorkspaces", "workspaces:RebuildWorkspaces", "workspaces:ModifyWorkspaceProperties" ], "Effect": "Allow", "Resource": "*" } ] }

AWS 受管理的策略: AmazonWorkSpacesServiceAccess

此政策提供客戶帳戶存取 Amazon WorkSpaces 服務以啟動 WorkSpace. 其包含在 workspaces_DefaultRole 角色中,並提供下列許可:

  • ec2-允許存取管理與網路界面相關聯的 Amazon EC2 資源。 WorkSpace

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ec2:CreateNetworkInterface", "ec2:DeleteNetworkInterface", "ec2:DescribeNetworkInterfaces" ], "Effect": "Allow", "Resource": "*" } ] }

AWS 受管理的策略: AmazonWorkSpacesPoolServiceAccess

此策略用於工作區 _DefaultRole,該工作區 WorkSpaces 用於訪問客戶 AWS 帳戶中的「集區」中所需的資源。 WorkSpaces 如需詳細資訊,請參閱 建立工作區 _ 角色 DefaultRole 。其可提供下列許可:

  • ec2-允許存取管理與 WorkSpaces 集區關聯的 Amazon EC2 資源,例如VPCs子網路、可用區域、安全群組和路由表。

  • s3-允許存取對日誌、應用程式設定和主資料夾功能所需的 Amazon S3 儲存貯體執行動作。

Commercial AWS 區域

以下政策JSON適用於商業 AWS 區域。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ProvisioningWorkSpacesPoolPermissions", "Effect": "Allow", "Action": [ "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeAvailabilityZones", "ec2:DescribeSecurityGroups", "ec2:DescribeRouteTables", "s3:ListAllMyBuckets" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "WorkSpacesPoolS3Permissions", "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:ListBucket", "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:GetObjectVersion", "s3:DeleteObjectVersion", "s3:GetBucketPolicy", "s3:PutBucketPolicy", "s3:PutEncryptionConfiguration" ], "Resource": [ "arn:aws:s3:::wspool-logs-*", "arn:aws:s3:::wspool-app-settings-*", "arn:aws:s3:::wspool-home-folder-*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }
AWS GovCloud (US) Regions

以下政策JSON適用於商業 AWS GovCloud (US) Regions。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ProvisioningWorkSpacesPoolPermissions", "Effect": "Allow", "Action": [ "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeAvailabilityZones", "ec2:DescribeSecurityGroups", "ec2:DescribeRouteTables", "s3:ListAllMyBuckets" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "WorkSpacesPoolS3Permissions", "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:ListBucket", "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:GetObjectVersion", "s3:DeleteObjectVersion", "s3:GetBucketPolicy", "s3:PutBucketPolicy", "s3:PutEncryptionConfiguration" ], "Resource": [ "arn:aws-us-gov:s3:::wspool-logs-*", "arn:aws-us-gov:s3:::wspool-app-settings-*", "arn:aws-us-gov:s3:::wspool-home-folder-*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }

WorkSpaces AWS 受管理策略的更新

檢視 WorkSpaces 自此服務開始追蹤這些變更以來的 AWS 受管理策略更新詳細資料。

變更 描述 日期
AWS 受管理的策略: AmazonWorkSpacesPoolServiceAccess - 新增的政策。 WorkSpaces 新增了新的受管政策,以授予檢視 Amazon EC2 VPCs 和相關資源的權限,以及檢視和管理適用於 WorkSpaces 集區的 Amazon S3 儲存貯體。 2024年6月24日
AWS 受管理的策略: AmazonWorkSpacesAdmin - 更新的政策 WorkSpaces 在 Amazon WorkSpacesAdmin 受管政策中新增了幾個 WorkSpaces 集區動作,授予管理員管理 WorkSpace 集區資源的存取權。 2024年6月24日
AWS 受管理的策略: AmazonWorkSpacesAdmin - 更新的政策 WorkSpaces 將該workspaces:RestoreWorkspace操作添加到 Amazon WorkSpacesAdmin 託管策略中,授予管理員還原的訪問權限 WorkSpaces。 2023 年 6 月 25 日
AWS 受管理的策略: AmazonWorkspacesPCAAccess - 新增的政策。 WorkSpaces 已新增受管理原則,以acm-pca授與管理 AWS Private CA 以管理憑證型驗證的權限。 2022 年 11 月 18 日
WorkSpaces 開始追蹤變更 WorkSpaces 開始追蹤其 WorkSpaces 受管理策略的變更。 2021 年 3 月 1 日