本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
WorkSpaces 的 Amazon 托管策略
要向用户、组和角色添加权限,与自己编写策略相比,使用 Amazon 托管策略更简单。创建仅为团队提供所需权限的 IAM 客户托管策略需要时间和专业知识。要快速入门,请使用 Amazon 托管策略。这些策略涵盖常见使用案例,可在您的 Amazon 账户中使用。有关 Amazon 托管策略的更多信息,请参阅 IAM 用户指南中的 Amazon 托管策略。
Amazon 服务负责维护和更新 Amazon 托管策略。您无法更改 Amazon 托管策略中的权限。服务可能偶尔会向 Amazon 托管策略添加额外权限以支持新功能。此类更新会影响附加策略的所有身份(用户、组和角色)。当启动新特征或新操作可用时,服务最有可能会更新 Amazon 托管策略。服务不会从 Amazon 托管策略中删除权限,因此策略更新不会破坏您的现有权限。
此外,Amazon 还支持跨多种服务的工作职能的托管策略。例如,ReadOnlyAccess
Amazon 托管策略提供对所有 Amazon 服务和资源的只读访问权限。当服务启动新特征时,Amazon 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅 IAM 用户指南中的适用于工作职能的 Amazon 托管策略。
Amazon 托管策略:AmazonWorkSpacesAdmin
此策略提供访问 Amazon WorkSpaces 管理操作的权限。它提供以下权限:
workspaces
- 允许访问针对 WorkSpaces 资源执行管理操作。kms
- 允许访问列出和描述 KMS 密钥以及列出别名。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:DescribeKey", "kms:ListAliases", "kms:ListKeys", "workspaces:CreateTags", "workspaces:CreateWorkspaces", "workspaces:CreateWorkspaceImage", "workspaces:DeleteTags", "workspaces:DescribeTags", "workspaces:DescribeWorkspaceBundles", "workspaces:DescribeWorkspaceDirectories", "workspaces:DescribeWorkspaces", "workspaces:DescribeWorkspacesConnectionStatus", "workspaces:ModifyCertificateBasedAuthProperties", "workspaces:ModifyWorkspaceProperties", "workspaces:ModifySamlProperties", "workspaces:RebootWorkspaces", "workspaces:RebuildWorkspaces", "workspaces:RestoreWorkspaces", "workspaces:StartWorkspaces", "workspaces:StopWorkspaces", "workspaces:TerminateWorkspaces" ], "Resource": "*" } ] }
Amazon 托管策略:AmazonWorkspacesPCAAccess
此托管策略提供对 Amazon 账户中 Amazon Certifice Manager Private Certificate Authority (Private CA) 资源的访问权限,以进行基于证书的身份验证。它包含在 AmazonWorkSpacesPCAAccess 角色中,它提供以下权限:
-
acm-pca
- 允许访问 Amazon Private CA 以管理基于证书的身份验证。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "acm-pca:IssueCertificate", "acm-pca:GetCertificate", "acm-pca:DescribeCertificateAuthority" ], "Resource": "arn:*:acm-pca:*:*:*", "Condition": { "StringLike": { "aws:ResourceTag/euc-private-ca": "*" } } } ] }
Amazon 托管策略:AmazonWorkSpacesSelfServiceAccess
该策略提供对 Amazon WorkSpaces 服务的访问权限,以执行由用户发起的 WorkSpaces 自助操作。它包含在 workspaces_DefaultRole
角色中,它提供以下权限:
-
workspaces
- 允许访问适用于用户的自助服务 WorkSpaces 管理功能。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "workspaces:RebootWorkspaces", "workspaces:RebuildWorkspaces", "workspaces:ModifyWorkspaceProperties" ], "Effect": "Allow", "Resource": "*" } ] }
Amazon 托管策略:AmazonWorkSpacesServiceAccess
此策略为客户账户提供对 Amazon WorkSpaces 服务的访问权限,以启动 WorkSpace。它包含在 workspaces_DefaultRole
角色中,它提供以下权限:
-
ec2
- 允许访问管理与 WorkSpace 关联的 Amazon EC2 资源,例如网络接口。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ec2:CreateNetworkInterface", "ec2:DeleteNetworkInterface", "ec2:DescribeNetworkInterfaces" ], "Effect": "Allow", "Resource": "*" } ] }
WorkSpaces Amazon 托管策略更新
查看有关 WorkSpaces 的 Amazon 托管策略更新的详细信息(从该服务开始跟踪这些更改开始)。
更改 | 说明 | 日期 |
---|---|---|
Amazon 托管策略:AmazonWorkSpacesAdmin - 更新的策略 | WorkSpaces 在 Amazon WorkSpacesAdmin 托管策略中添加了 workspaces:RestoreWorkspace 操作,以授予管理员恢复 WorkSpaces 的权限。 |
2023 年 6 月 25 日 |
Amazon 托管策略:AmazonWorkspacesPCAAccess - 添加了新策略 | WorkSpaces 添加了一个新的托管策略,以授予管理 Amazon Private CA 的 acm-pca 权限,从而管理基于证书的身份验证。 |
2022 年 11 月 18 日 |
WorkSpaces 已开启跟踪更改 | WorkSpaces 开始为其 WorkSpaces 托管策略跟踪更改。 | 2021 年 3 月 1 日 |