AmazonWorkSpacesAdmin AmazonWorkSpaces PCAAccess AmazonWorkSpacesSelfServiceAccess AmazonWorkSpacesServiceAccess AmazonWorkSpacesPoolServiceAcces WorkSpaces Amazon 托管策略更新

WorkSpaces 的 Amazon 托管策略

要向用户、组和角色添加权限，与自己编写策略相比，使用 Amazon 托管策略更简单。创建仅为团队提供所需权限的 IAM 客户托管策略需要时间和专业知识。要快速入门，请使用 Amazon 托管策略。这些策略涵盖常见应用场景，可在您的 Amazon 账户中使用。有关 Amazon 托管式策略的更多信息，请参阅《IAM 用户指南》中的 Amazon 托管式策略。

Amazon 服务负责维护和更新 Amazon 托管式策略。您无法更改 Amazon 托管式策略中的权限。服务可能偶尔会向 Amazon 托管策略添加额外权限以支持新功能。此类更新会影响附加策略的所有身份（用户、组和角色）。当启动新功能或新操作可用时，服务最有可能会更新 Amazon 托管策略。服务不会从 Amazon 托管策略中删除权限，因此策略更新不会破坏您的现有权限。

此外，Amazon 还支持跨多种服务的工作职能的托管策略。例如，ReadOnlyAccess Amazon 托管式策略提供对所有 Amazon 服务和资源的只读访问权限。当服务启动新特征时，Amazon 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明，请参阅《IAM 用户指南》中的适用于工作职能的 Amazon 托管式策略。

Amazon 托管策略：AmazonWorkSpacesAdmin

注意

列出的权限仅适用于 SDK，不适用于控制台。控制台需要 Amazon WorkSpaces Console operations permissions reference 中列出的其他权限。

此策略提供访问 Amazon WorkSpaces 管理操作的权限。它提供以下权限：

workspaces - 允许访问针对 WorkSpaces 个人版和 WorkSpaces Pools 资源执行管理操作。
kms - 允许访问列出和描述 KMS 密钥以及列出别名。

JSON


{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AmazonWorkSpacesAdmin",
            "Effect": "Allow",
            "Action": [
                "kms:DescribeKey",
                "kms:ListAliases",
                "kms:ListKeys",
                "workspaces:CreateTags",
                "workspaces:CreateWorkspaceImage",
                "workspaces:CreateWorkspaces",
                "workspaces:CreateWorkspacesPool",
                "workspaces:CreateStandbyWorkspaces",
                "workspaces:DeleteTags",
                "workspaces:DeregisterWorkspaceDirectory",
                "workspaces:DescribeTags",
                "workspaces:DescribeWorkspaceBundles",
                "workspaces:DescribeWorkspaceDirectories",
                "workspaces:DescribeWorkspaces",
                "workspaces:DescribeWorkspacesPools",
                "workspaces:DescribeWorkspacesPoolSessions",
                "workspaces:DescribeWorkspacesConnectionStatus",
                "workspaces:ModifyCertificateBasedAuthProperties",
                "workspaces:ModifySamlProperties",
                "workspaces:ModifyStreamingProperties",
                "workspaces:ModifyWorkspaceCreationProperties",
                "workspaces:ModifyWorkspaceProperties",
                "workspaces:RebootWorkspaces",
                "workspaces:RebuildWorkspaces",
                "workspaces:RegisterWorkspaceDirectory",
                "workspaces:RestoreWorkspace",
                "workspaces:StartWorkspaces",
                "workspaces:StartWorkspacesPool",
                "workspaces:StopWorkspaces",
                "workspaces:StopWorkspacesPool",
                "workspaces:TerminateWorkspaces",
                "workspaces:TerminateWorkspacesPool",
                "workspaces:TerminateWorkspacesPoolSession",
                "workspaces:UpdateWorkspacesPool"
            ],
            "Resource": "*"
        }
    ]
}

Amazon 托管策略：AmazonWorkSpaces PCAAccess

此托管策略提供对 Amazon 账户中 Amazon Certifice Manager Private Certificate Authority (Private CA) 资源的访问权限，以进行基于证书的身份验证。它包含在 AmazonWorkSpacesPCAAccess 角色中，它提供以下权限：

acm-pca - 允许访问 Amazon Private CA 以管理基于证书的身份验证。

Amazon 托管策略：AmazonWorkSpacesSelfServiceAccess

该策略提供对 Amazon WorkSpaces 服务的访问权限，以执行由用户发起的 WorkSpaces 自助操作。它包含在 workspaces_DefaultRole 角色中，它提供以下权限：

workspaces - 允许访问适用于用户的自助服务 WorkSpaces 管理功能。

Amazon 托管策略：AmazonWorkSpacesServiceAccess

此策略为客户账户提供对 Amazon WorkSpaces 服务的访问权限，以启动 WorkSpace。它包含在 workspaces_DefaultRole 角色中，它提供以下权限：

ec2 - 允许访问管理与 WorkSpace 关联的 Amazon EC2 资源，例如网络接口。

Amazon 托管策略：AmazonWorkSpacesPoolServiceAccess

重要

WorkSpaces Pools 功能不在北京和宁夏区域提供。

此策略用在 workspaces_DefaultRole 中，WorkSpaces 使用它来访问客户 Amazon 账户中 WorkSpaces Pools 所需的资源。有关更多信息，请参阅创建 workspaces_DefaultRole 角色。它提供以下权限：

ec2 - 允许访问权限以管理与 WorkSpaces Pools 关联的 Amazon EC2 资源，例如 VPC、子网、可用区、安全组和路由表。
s3 - 允许访问权限以对日志、应用程序设置和主文件夹功能所需的 Amazon S3 存储桶执行操作。

Commercial Amazon Web Services 区域

以下策略 JSON 适用于商业 Amazon Web Services 区域。

JSON

JSON


{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ProvisioningWorkSpacesPoolPermissions",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeRouteTables",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "WorkSpacesPoolS3Permissions",
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:ListBucket",
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:GetObjectVersion",
                "s3:DeleteObjectVersion",
                "s3:GetBucketPolicy",
                "s3:PutBucketPolicy",
                "s3:PutEncryptionConfiguration"
            ],
            "Resource": [
                "arn:aws:s3:::wspool-logs-*",
                "arn:aws:s3:::wspool-app-settings-*",
                "arn:aws:s3:::wspool-home-folder-*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        }
    ]
}

Amazon GovCloud (US) Regions

以下策略 JSON 适用于商业 Amazon GovCloud (US) Regions。

JSON

JSON


{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ProvisioningWorkSpacesPoolPermissions",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeRouteTables",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "WorkSpacesPoolS3Permissions",
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:ListBucket",
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:GetObjectVersion",
                "s3:DeleteObjectVersion",
                "s3:GetBucketPolicy",
                "s3:PutBucketPolicy",
                "s3:PutEncryptionConfiguration"
            ],
            "Resource": [
                "arn:aws-us-gov:s3:::wspool-logs-*",
                "arn:aws-us-gov:s3:::wspool-app-settings-*",
                "arn:aws-us-gov:s3:::wspool-home-folder-*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        }
    ]
}

WorkSpaces Amazon 托管策略更新

查看有关 WorkSpaces 的 Amazon 托管策略更新的详细信息（从该服务开始跟踪这些更改开始）。

更改	描述	日期
Amazon 托管策略：AmazonWorkSpacesPoolServiceAccess - 添加了新策略	WorkSpaces 添加了一项新的托管策略，以授予以下权限：查看 Amazon EC2 VPC 和相关资源，以及查看和管理 WorkSpaces Pools 的 Amazon S3 存储桶。	2024 年 6 月 24 日
Amazon 托管策略：AmazonWorkSpacesAdmin - 更新的策略	WorkSpaces Pools 中的 WorkSpaces 在 Amazon WorkSpacesAdmin 托管策略中添加了几项操作，以授予管理员管理 WorkSpace 池资源的权限。	2024 年 6 月 24 日
Amazon 托管策略：AmazonWorkSpacesAdmin - 更新的策略	WorkSpaces 在 Amazon WorkSpacesAdmin 托管策略中添加了 `workspaces:RestoreWorkspace` 操作，以授予管理员恢复 WorkSpaces 的权限。	2023 年 6 月 25 日
Amazon 托管策略：AmazonWorkSpaces PCAAccess - 添加了新策略	WorkSpaces 添加了一个新的托管策略，以授予管理 Amazon Private CA 的 `acm-pca` 权限，从而管理基于证书的身份验证。	2022 年 11 月 18 日
WorkSpaces 已开启跟踪更改	WorkSpaces 开始为其 WorkSpaces 托管策略跟踪更改。	2021 年 3 月 1 日

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

身份和访问管理

对流实例上的 WorkSpaces 和脚本的访问权限