本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 適用於 WorkSpaces 的身分和存取管理
根據預設,IAM 使用者不具備 WorkSpaces 資源和操作的許可。若要允許 IAM 使用者管理 WorkSpaces 資源,您必須建立 IAM 政策,明確將許可授予使用者,然後將該政策連接到需要該些許可的 IAM 使用者或群組。
**注意**
Amazon WorkSpaces 不支援在 WorkSpace 中佈建 IAM 憑證 (例如使用執行個體設定檔)。
若要提供存取權,請新增權限至您的使用者、群組或角色:
+ 中的使用者和群組 AWS IAM Identity Center:
建立權限合集。請按照《*AWS IAM Identity Center 使用者指南*》中的[建立權限合集](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)說明進行操作。
+ 透過身分提供者在 IAM 中管理的使用者:
建立聯合身分的角色。遵循《*IAM 使用者指南*》的[為第三方身分提供者 (聯合) 建立角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)中的指示。
+ IAM 使用者:
+ 建立您的使用者可擔任的角色。請按照《*IAM 使用者指南*》的[為 IAM 使用者建立角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)中的指示。
+ (不建議) 將政策直接附加至使用者,或將使用者新增至使用者群組。請遵循《*IAM 使用者指南*》的[新增許可到使用者 (主控台)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) 中的指示。
以下是 IAM 的其他資源:
+ 如需 IAM 政策的詳細資訊,請參閱《IAM 使用者指南》**中的[政策和許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
+ 如需 IAM 的詳細資訊,請參閱[身分和存取管理 (IAM)](https://aws.amazon.com/iam) 和 [https://docs.aws.amazon.com/IAM/latest/UserGuide/](https://docs.aws.amazon.com/IAM/latest/UserGuide/)。
+ 如需有關用於 IAM 許可政策的 WorkSpaces 特定資源、動作和條件內容金鑰的詳細資訊,請參閱《*IAM 使用者指南*》中的 [Amazon WorkSpaces 的動作、資源和條件金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonworkspaces.html)。
+ 如需協助您建立 IAM 政策的工具,請參閱 [AWS 政策產生器](https://aws.amazon.com/blogs/aws/aws-policy-generator/)。您也可以使用 [IAM 政策模擬器](https://docs.aws.amazon.com/IAM/latest/UsingPolicySimulatorGuide/),測試政策會允許還是拒絕對 AWS的特定請求。
**Topics**
+ [政策範例](#workspaces-example-iam-policies)
+ [在 IAM 政策中指定 WorkSpaces 資源](#wsp_iam_resource)
+ [建立 workspaces\$1DefaultRole 角色](#create-default-role)
+ [建立 AmazonWorkSpacesPCAAccess 服務角色](#create-pca-access-role)
+ [AWS WorkSpaces 的 受管政策](managed-policies.md)
+ [在串流執行個體上存取 WorkSpaces 和指令碼](using-iam-roles-to-grant-permissions-to-applications-scripts-streaming-instances.md)
+ [Amazon WorkSpaces 主控台操作許可參考](wsp-console-permissions-ref.md)
## 政策範例
以下範例顯示您可以用來控制 IAM 使用者具有之 Amazon WorkSpaces 許可的政策陳述式。
### 範例 1:授予執行 WorkSpaces 個人和集區任務的存取權
下列政策陳述式授予 IAM 使用者執行 WorkSpaces 個人和集區任務的許可。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:*",
"workspaces:*",
"application-autoscaling:DeleteScalingPolicy",
"application-autoscaling:DeleteScheduledAction",
"application-autoscaling:DeregisterScalableTarget",
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"application-autoscaling:PutScalingPolicy",
"application-autoscaling:PutScheduledAction",
"application-autoscaling:RegisterScalableTarget",
"cloudwatch:DeleteAlarms",
"cloudwatch:DescribeAlarms",
"cloudwatch:PutMetricAlarm",
"ec2:AssociateRouteTable",
"ec2:AttachInternetGateway",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateInternetGateway",
"ec2:CreateNetworkInterface",
"ec2:CreateRoute",
"ec2:CreateRouteTable",
"ec2:CreateSecurityGroup",
"ec2:CreateSubnet",
"ec2:CreateTags",
"ec2:CreateVpc",
"ec2:DeleteNetworkInterface",
"ec2:DeleteSecurityGroup",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeInternetGateways",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"iam:AttachRolePolicy",
"iam:CreatePolicy",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:PutRolePolicy",
"kms:ListAliases",
"kms:ListKeys",
"secretsmanager:ListSecrets",
"tag:GetResources",
"sso-directory:SearchUsers",
"sso:CreateApplication",
"sso:DeleteApplication",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:GetApplicationGrant",
"sso:ListInstances",
"sso:PutApplicationAssignmentConfiguration",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "workspaces.amazonaws.com"
}
}
}
]
}
```
------
### 範例 2:授予執行 WorkSpaces Personal 任務的存取權
下列政策陳述式授予 IAM 使用者執行所有 WorkSpaces Personal 任務的許可。
雖然 Amazon WorkSpaces 在使用 API `Action`和命令列工具時完全支援 和 `Resource`元素,但 IAM Amazon WorkSpaces AWS 管理主控台使用者必須具有下列動作和資源的許可:
+ 動作: `"ds:*"`
+ 資源:`"Resource": "*"`
下列政策範例顯示如何允許 IAM 使用者從 AWS 管理主控台使用 Amazon WorkSpaces。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"workspaces:*",
"ds:*",
"iam:GetRole",
"iam:CreateRole",
"iam:PutRolePolicy",
"iam:CreatePolicy",
"iam:AttachRolePolicy",
"iam:ListRoles",
"kms:ListAliases",
"kms:ListKeys",
"ec2:CreateVpc",
"ec2:CreateSubnet",
"ec2:CreateNetworkInterface",
"ec2:CreateInternetGateway",
"ec2:CreateRouteTable",
"ec2:CreateRoute",
"ec2:CreateTags",
"ec2:CreateSecurityGroup",
"ec2:DescribeInternetGateways",
"ec2:DescribeSecurityGroups",
"ec2:DescribeRouteTables",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeAvailabilityZones",
"ec2:AttachInternetGateway",
"ec2:AssociateRouteTable",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:DeleteSecurityGroup",
"ec2:DeleteNetworkInterface",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"secretsmanager:ListSecrets",
"sso-directory:SearchUsers",
"sso:CreateApplication",
"sso:DeleteApplication",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:GetApplicationGrant",
"sso:ListInstances",
"sso:PutApplicationAssignmentConfiguration",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "workspaces.amazonaws.com"
}
}
}
]
}
```
------
### 範例 3:授予執行 WorkSpaces 集區任務的存取權
下列政策陳述式授予 IAM 使用者執行所有 WorkSpaces 集區任務的許可。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"workspaces:*",
"application-autoscaling:DeleteScalingPolicy",
"application-autoscaling:DeleteScheduledAction",
"application-autoscaling:DeregisterScalableTarget",
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"application-autoscaling:PutScalingPolicy",
"application-autoscaling:PutScheduledAction",
"application-autoscaling:RegisterScalableTarget",
"cloudwatch:DeleteAlarms",
"cloudwatch:DescribeAlarms",
"cloudwatch:PutMetricAlarm",
"ec2:CreateSecurityGroup",
"ec2:CreateTags",
"ec2:DescribeInternetGateways",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"iam:AttachRolePolicy",
"iam:CreatePolicy",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:PutRolePolicy",
"secretsmanager:ListSecrets",
"tag:GetResources"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "workspaces.amazonaws.com"
}
}
},
{
"Action": "iam:CreateServiceLinkedRole",
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/aws-service-role/workspaces.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_WorkSpacesPool",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "workspaces.application-autoscaling.amazonaws.com"
}
}
}
]
}
```
------
### 範例 4:執行 BYOL WorkSpaces 的所有 WorkSpaces 任務
下列政策陳述式授予 IAM 使用者執行所有 WorkSpaces 任務的許可,包括建立自帶授權 (BYOL) WorkSpaces 所需的 Amazon EC2 任務。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:*",
"workspaces:*",
"ec2:AssociateRouteTable",
"ec2:AttachInternetGateway",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateInternetGateway",
"ec2:CreateNetworkInterface",
"ec2:CreateRoute",
"ec2:CreateRouteTable",
"ec2:CreateSecurityGroup",
"ec2:CreateSubnet",
"ec2:CreateTags",
"ec2:CreateVpc",
"ec2:DeleteNetworkInterface",
"ec2:DeleteSecurityGroup",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeImages",
"ec2:DescribeInternetGateways",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:ModifyImageAttribute",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"iam:CreateRole",
"iam:GetRole",
"iam:PutRolePolicy",
"kms:ListAliases",
"kms:ListKeys"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "workspaces.amazonaws.com"
}
}
}
]
}
```
------
## 在 IAM 政策中指定 WorkSpaces 資源
若要在政策陳述式的 `Resource` 元素中指定 WorkSpaces 資源,請使用資源的 Amazon Resource Name (ARN)。您可藉由允許或拒絕使用 IAM 政策陳述式的 `Action` 元素中指定的 API 動作的許可,控制對 WorkSpaces 資源的存取。WorkSpaces 定義 WorkSpaces、套件、IP 群組和目錄的 ARN。
### WorkSpace ARN
WorkSpace ARN 具有下列範例所示的語法。
```
arn:aws:workspaces:region:account_id:workspace/workspace_identifier
```
*region*
WorkSpace 所在的區域 (例如 `us-east-1`)。
*account\$1id*
AWS 帳戶 ID,不含連字號 (例如 `123456789012`)。
*workspace\$1identifier*
WorkSpace 的 ID (例如 `ws-a1bcd2efg`)。
以下是識別特定 WorkSpace 之政策陳述式的 `Resource` 元素格式。
```
"Resource": "arn:aws:workspaces:region:account_id:workspace/workspace_identifier"
```
您可使用 `*` 萬用字元來指定屬於特定區域中特定帳戶的所有 WorkSpaces。
### WorkSpace 集區 ARN
WorkSpace 集區 ARN 具有下列範例所示的語法。
```
arn:aws:workspaces:region:account_id:workspacespool/workspacespool_identifier
```
*region*
WorkSpace 所在的區域 (例如 `us-east-1`)。
*account\$1id*
AWS 帳戶 ID,不含連字號 (例如 `123456789012`)。
*workspacespool\$1identifier*
WorkSpace 集區的 ID (例如 `ws-a1bcd2efg`)。
以下是識別特定 WorkSpace 之政策陳述式的 `Resource` 元素格式。
```
"Resource": "arn:aws:workspaces:region:account_id:workspacespool/workspacespool_identifier"
```
您可使用 `*` 萬用字元來指定屬於特定區域中特定帳戶的所有 WorkSpaces。
### 憑證 ARN
WorkSpace 憑證 ARN 具有下列範例中顯示的語法。
```
arn:aws:workspaces:region:account_id:workspacecertificate/workspacecertificateidentifier
```
*region*
WorkSpace 所在的區域 (例如 `us-east-1`)。
*account\$1id*
AWS 帳戶 ID,不含連字號 (例如 `123456789012`)。
*workspacecertificate\$1identifier*
WorkSpace 憑證的 ID (例如 `ws-a1bcd2efg`)。
以下是識別特定 WorkSpace 憑證之政策陳述式的 `Resource`元素格式。
```
"Resource": "arn:aws:workspaces:region:account_id:workspacecertificate/workspacecertificate_identifier"
```
您可使用 `*` 萬用字元來指定屬於特定區域中特定帳戶的所有 WorkSpaces。
### 映像 ARN
WorkSpace 映像 ARN 具有下列範例所示的語法。
```
arn:aws:workspaces:region:account_id:workspaceimage/image_identifier
```
*region*
WorkSpace 映像所在的區域 (例如 `us-east-1`)。
*account\$1id*
AWS 帳戶 ID,不含連字號 (例如 `123456789012`)。
*bundle\$1identifier*
WorkSpace 映像的 ID (例如 `wsi-a1bcd2efg`)。
以下是識別特定映象之政策陳述式 `Resource` 元素的格式。
```
"Resource": "arn:aws:workspaces:region:account_id:workspaceimage/image_identifier"
```
您可使用 `*` 萬用字元來指定屬於特定區域中特定帳戶的所有映像。
### 套件 ARN
套件 ARN 具有下列範例所示的語法。
```
arn:aws:workspaces:region:account_id:workspacebundle/bundle_identifier
```
*region*
WorkSpace 所在的區域 (例如 `us-east-1`)。
*account\$1id*
AWS 帳戶 ID,不含連字號 (例如 `123456789012`)。
*bundle\$1identifier*
WorkSpace 套件的 ID (例如 `wsb-a1bcd2efg`)。
以下是識別特定套件之政策陳述式 `Resource` 元素的格式。
```
"Resource": "arn:aws:workspaces:region:account_id:workspacebundle/bundle_identifier"
```
您可使用 `*` 萬用字元來指定屬於特定區域中特定帳戶的所有套件。
### IP 群組 ARM
IP 群組 ARN 具有下列範例所示的語法。
```
arn:aws:workspaces:region:account_id:workspaceipgroup/ipgroup_identifier
```
*region*
WorkSpace 所在的區域 (例如 `us-east-1`)。
*account\$1id*
AWS 帳戶 ID,不含連字號 (例如 `123456789012`)。
*ipgroup\$1identifier*
IP 群組的 ID (例如 `wsipg-a1bcd2efg`)。
以下是識別特定 IP 群組之政策陳述式 `Resource` 元素的格式。
```
"Resource": "arn:aws:workspaces:region:account_id:workspaceipgroup/ipgroup_identifier"
```
您可使用 `*` 萬用字元來指定屬於特定區域中特定帳戶的所有 IP 群組。
### 目錄 ARN
目錄 ARN 具有下列範例所示的語法。
```
arn:aws:workspaces:region:account_id:directory/directory_identifier
```
*region*
WorkSpace 所在的區域 (例如 `us-east-1`)。
*account\$1id*
AWS 帳戶 ID,不含連字號 (例如 `123456789012`)。
*directory\$1identifier*
目錄的 ID (例如 `d-12345a67b8`)。
以下是識別特定目錄之政策陳述式 `Resource` 元素的格式。
```
"Resource": "arn:aws:workspaces:region:account_id:directory/directory_identifier"
```
您可使用 `*` 萬用字元來指定屬於特定區域中特定帳戶的所有目錄。
### 連線別名 ARN
連線別名 ARN 具有下列範例所示的語法。
```
arn:aws:workspaces:region:account_id:connectionalias/connectionalias_identifier
```
*region*
連線別名所在的區域 (例如 `us-east-1`)。
*account\$1id*
AWS 帳戶 ID,不含連字號 (例如 `123456789012`)。
*connectionalias\$1identifier*
連線別名的 ID (例如 `wsca-12345a67b8`)。
以下是識別特定連線別名之政策陳述式 `Resource` 元素的格式。
```
"Resource": "arn:aws:workspaces:region:account_id:connectionalias/connectionalias_identifier"
```
您可使用 `*` 萬用字元來指定屬於特定區域中特定帳戶的所有連線別名。
### 不支援資源層級許可的 API 動作
您不能使用以下 API 動作指定資源 ARN:
+ `AssociateIpGroups`
+ `CreateIpGroup`
+ `CreateTags`
+ `DeleteTags`
+ `DeleteWorkspaceImage`
+ `DescribeAccount`
+ `DescribeAccountModifications`
+ `DescribeIpGroups`
+ `DescribeTags`
+ `DescribeWorkspaceDirectories`
+ `DescribeWorkspaceImages`
+ `DescribeWorkspaces`
+ `DescribeWorkspacesConnectionStatus`
+ `DisassociateIpGroups`
+ `ImportWorkspaceImage`
+ `ListAvailableManagementCidrRanges`
+ `ModifyAccount`
對於不支援資源層級許可的 API 動作,您必須指定下列資源陳述式,如下列範例所示。
```
"Resource": "*"
```
### 不支援共用資源帳戶層級限制的 API 動作
對於下列 API 動作,如果帳戶並未擁有資源,則無法在資源 ARN 中指定帳號 ID:
+ `AssociateConnectionAlias`
+ `CopyWorkspaceImage`
+ `DisassociateConnectionAlias`
對於這些 API 動作,只有在帳戶擁有要採取動作的資源時,您才可在資源 ARN 中指定帳戶 ID。當帳戶並未擁有資源時,您必須針對帳戶 ID 指定 `*`,如以下範例所示。
```
"arn:aws:workspaces:region:*:resource_type/resource_identifier"
```
## 建立 workspaces\$1DefaultRole 角色
您必須先確認名為 `workspaces_DefaultRole` 的角色是否存在,才能使用 API 註冊目錄。此角色是由 Quick Setup 建立,或者如果您使用 啟動 WorkSpace AWS 管理主控台,則會授予 Amazon WorkSpaces 代表您存取特定 AWS 資源的許可。如果此角色不存在,您可以使用下列程序加以建立。
**建立 workspaces\$1DefaultRole 角色**
1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 的 IAM 主控台。
1. 在左側導覽窗格中,選擇 **Roles** (角色)。
1. 選擇建**立角色**。
1. 在 **Select type of trusted entity** (選取信任的實體類型) 下,選擇 **Another AWS account** (另一個 帳戶)。
1. 針對**帳戶 ID**,輸入不含連字號或空格的帳戶 ID。
1. 針對**選項**,請勿指定多重要素驗證 (MFA)。
1. 選擇**下一步:許可**。
1. 在**連接許可政策**頁面上,選取 AWS 受管政策 **AmazonWorkSpacesServiceAccess**、**AmazonWorkSpacesSelfServiceAccess** 和 **AmazonWorkSpacesPoolServiceAccess**。如需這些受管政策的詳細資訊,請參閱 [AWS WorkSpaces 的 受管政策](managed-policies.md)。
1. 在**設定許可界限**之下,建議您不要使用許可界限,因為附加至此角色的政策可能發生衝突。這類衝突可能會封鎖角色的某些必要許可。
1. 選擇**下一步:標籤**。
1. 在**新增標籤 (選用)** 頁面上,視需要新增標籤。
1. 選擇 **Next:Review (下一步:檢閱)**。
1. 在 **Review** (檢閱) 頁面,針對 **Role name** (角色名稱) 輸入 **workspaces\$1DefaultRole**。
1. (選用) 針對 **Role description (角色描述)**,輸入描述。
1. 選擇**建立角色**。
1. 在 workspaces\$1DefaultRole 角色的**摘要**頁面上,選擇**信任關係**索引標籤。
1. 在 **Trust relationships (信任關係)** 標籤上,選擇 **Edit trust relationship (編輯信任關係)**。
1. 在**編輯信任關係**頁面上,以下列陳述式取代現有的政策陳述式。
```
{
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "workspaces.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
1. 選擇 **Update Trust Policy** (更新信任政策)。
## 建立 AmazonWorkSpacesPCAAccess 服務角色
您必須先確認名為 `AmazonWorkSpacesPCAAccess` 的角色是否存在,使用者才能使用憑證型驗證進行登入。當您使用 在目錄上啟用憑證型身分驗證時,會建立此角色 AWS 管理主控台,並授予 Amazon WorkSpaces 代表您存取 AWS 私有 CA 資源的許可。如果因為您未使用主控台來管理憑證型驗證而不存在此角色,您可以使用下列程序加以建立。
**使用 建立 AmazonWorkSpacesPCAAccess 服務角色 AWS CLI**
1. 使用以下文字建立名為 `AmazonWorkSpacesPCAAccess.json` 的 JSON 檔案。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "prod.euc.ecm.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. 視需要調整`AmazonWorkSpacesPCAAccess.json`路徑並執行下列 AWS CLI 命令,以建立服務角色並連接 [AmazonWorkspacesPCAAccess](managed-policies.md#workspaces-pca-access) 受管政策。
```
aws iam create-role --path /service-role/ --role-name AmazonWorkSpacesPCAAccess --assume-role-policy-document file://AmazonWorkSpacesPCAAccess.json
```
```
aws iam attach-role-policy —role-name AmazonWorkSpacesPCAAccess —policy-arn arn:aws:iam::aws:policy/AmazonWorkspacesPCAAccess
```