Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# AWS kebijakan terkelola untuk Browser WorkSpaces Aman
Untuk menambahkan izin ke pengguna, grup, dan peran, lebih mudah menggunakan kebijakan AWS terkelola daripada menulis kebijakan sendiri. Dibutuhkan waktu dan keahlian untuk [membuat kebijakan yang dikelola pelanggan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) yang hanya memberi tim Anda izin yang mereka butuhkan. Untuk memulai dengan cepat, Anda dapat menggunakan kebijakan AWS terkelola kami. Kebijakan ini mencakup kasus penggunaan umum dan tersedia di AWS akun Anda. Untuk informasi selengkapnya tentang kebijakan AWS [AWS terkelola, lihat kebijakan terkelola](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) di *Panduan Pengguna IAM*.
AWS layanan memelihara dan memperbarui kebijakan AWS terkelola. Anda tidak dapat mengubah izin dalam kebijakan AWS terkelola. Layanan terkadang dapat menambahkan izin tambahan ke kebijakan AWS terkelola untuk mendukung fitur baru. Jenis pembaruan ini akan memengaruhi semua identitas (pengguna, grup, dan peran) di mana kebijakan tersebut dilampirkan. Layanan kemungkinan besar akan memperbarui kebijakan yang dikelola AWS saat ada fitur baru yang diluncurkan atau saat ada operasi baru yang tersedia. Layanan tidak menghapus izin dari kebijakan AWS terkelola, sehingga pembaruan kebijakan tidak akan merusak izin yang ada.
Selain itu, AWS mendukung kebijakan terkelola untuk fungsi pekerjaan yang mencakup beberapa layanan. Misalnya, kebijakan `ReadOnlyAccess` AWS terkelola menyediakan akses hanya-baca ke semua AWS layanan dan sumber daya. Saat layanan meluncurkan fitur baru, AWS tambahkan izin hanya-baca untuk operasi dan sumber daya baru. Untuk melihat daftar dan deskripsi dari kebijakan fungsi tugas, lihat [kebijakan yang dikelola AWS untuk fungsi tugas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) di *Panduan Pengguna IAM*.
**Topics**
+ [AWS kebijakan terkelola: AmazonWorkSpacesWebServiceRolePolicy](security-iam-awsmanpol-AmazonWorkSpacesWebServiceRolePolicy.md)
+ [AWS kebijakan terkelola: AmazonWorkSpacesSecureBrowserReadOnly](security-iam-awsmanpol-AmazonWorkSpacesSecureBrowserReadOnly.md)
+ [AWS kebijakan terkelola: AmazonWorkSpacesWebReadOnly](security-iam-awsmanpol-AmazonWorkSpacesWebReadOnly.md)
+ [WorkSpaces Mengamankan pembaruan Browser ke kebijakan AWS terkelola](security-iam-awsmanpol-updates.md)
# AWS kebijakan terkelola: AmazonWorkSpacesWebServiceRolePolicy
Anda tidak dapat melampirkan kebijakan `AmazonWorkSpacesWebServiceRolePolicy` ke entitas IAM Anda. Kebijakan ini dilampirkan pada peran terkait layanan yang memungkinkan Browser WorkSpaces Aman melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat [Menggunakan peran terkait layanan untuk Amazon WorkSpaces Secure Browser](using-service-linked-roles.md).
Kebijakan ini memberikan izin administratif yang memungkinkan akses ke AWS layanan dan sumber daya yang digunakan atau dikelola oleh Browser WorkSpaces Aman.
**Detail izin**
Kebijakan ini mencakup izin berikut:
+ `workspaces-web`— Memungkinkan akses ke AWS layanan dan sumber daya yang digunakan atau dikelola oleh Browser WorkSpaces Aman.
+ `ec2`— Memungkinkan prinsipal untuk mendeskripsikan VPCs, subnet, dan zona ketersediaan; membuat, menandai, mendeskripsikan, dan menghapus antarmuka jaringan; mengaitkan atau memisahkan alamat; dan menjelaskan tabel rute, grup keamanan, dan titik akhir VPC.
+ `CloudWatch`— Memungkinkan kepala sekolah untuk menempatkan data metrik.
+ `Kinesis`- Memungkinkan prinsipal untuk menjelaskan ringkasan aliran data Kinesis dan memasukkan catatan ke dalam aliran data Kinesis untuk pencatatan akses pengguna. Untuk informasi selengkapnya, lihat [Menyiapkan pencatatan aktivitas pengguna di Amazon WorkSpaces Secure Browser](user-logging.md).
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeNetworkInterfaces",
"ec2:AssociateAddress",
"ec2:DisassociateAddress",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeVpcEndpoints"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws:ec2:*:*:subnet/*",
"arn:aws:ec2:*:*:security-group/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": "arn:aws:ec2:*:*:network-interface/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/WorkSpacesWebManaged": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:*:*:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateNetworkInterface"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"WorkSpacesWebManaged"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DeleteNetworkInterface"
],
"Resource": "arn:aws:ec2:*:*:network-interface/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/WorkSpacesWebManaged": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": [
"AWS/WorkSpacesWeb",
"AWS/Usage"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kinesis:PutRecord",
"kinesis:PutRecords",
"kinesis:DescribeStreamSummary"
],
"Resource": "arn:aws:kinesis:*:*:stream/amazon-workspaces-web-*"
}
]
}
```
# AWS kebijakan terkelola: AmazonWorkSpacesSecureBrowserReadOnly
Anda dapat melampirkan kebijakan `AmazonWorkSpacesSecureBrowserReadOnly` ke identitas IAM Anda.
Kebijakan ini memberikan izin hanya-baca yang memungkinkan akses ke Browser WorkSpaces Aman dan dependensinya melalui AWS Management Console, SDK, dan CLI. Kebijakan ini tidak menyertakan izin yang diperlukan untuk berinteraksi dengan portal yang digunakan `IAM_Identity_Center` sebagai jenis autentikasi. Untuk mendapatkan izin ini, gabungkan kebijakan ini dengan`AWSSSOReadOnly`.
**Detail izin**
Kebijakan ini mencakup izin berikut.
+ `workspaces-web`— Menyediakan akses read-only ke WorkSpaces Secure Browser dan dependensinya melalui AWS Management Console, SDK, dan CLI.
+ `ec2`— Memungkinkan kepala sekolah untuk mendeskripsikan VPCs, subnet, dan kelompok keamanan. Ini digunakan di Konsol AWS Manajemen di Browser WorkSpaces Aman untuk menunjukkan kepada Anda VPCs, subnet, dan grup keamanan yang tersedia untuk digunakan dengan layanan.
+ `Kinesis`- Memungkinkan kepala sekolah untuk daftar aliran data Kinesis. Ini digunakan di Konsol AWS Manajemen di Browser WorkSpaces Aman untuk menunjukkan aliran data Kinesis yang tersedia untuk digunakan dengan layanan.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"workspaces-web:GetBrowserSettings",
"workspaces-web:GetIdentityProvider",
"workspaces-web:GetNetworkSettings",
"workspaces-web:GetPortal",
"workspaces-web:GetPortalServiceProviderMetadata",
"workspaces-web:GetTrustStore",
"workspaces-web:GetTrustStoreCertificate",
"workspaces-web:GetUserSettings",
"workspaces-web:GetUserAccessLoggingSettings",
"workspaces-web:ListBrowserSettings",
"workspaces-web:ListIdentityProviders",
"workspaces-web:ListNetworkSettings",
"workspaces-web:ListPortals",
"workspaces-web:ListTagsForResource",
"workspaces-web:ListTrustStoreCertificates",
"workspaces-web:ListTrustStores",
"workspaces-web:ListUserSettings",
"workspaces-web:ListUserAccessLoggingSettings"
],
"Resource": "arn:aws:workspaces-web:*:*:*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"kinesis:ListStreams"
],
"Resource": "*"
}
]
}
```
# AWS kebijakan terkelola: AmazonWorkSpacesWebReadOnly
Anda dapat melampirkan kebijakan `AmazonWorkSpacesWebReadOnly` ke identitas IAM Anda.
Kebijakan ini memberikan izin hanya-baca yang memungkinkan akses ke Browser WorkSpaces Aman dan dependensinya melalui AWS Management Console, SDK, dan CLI. Kebijakan ini tidak menyertakan izin yang diperlukan untuk berinteraksi dengan portal yang digunakan `IAM_Identity_Center` sebagai jenis autentikasi. Untuk mendapatkan izin ini, gabungkan kebijakan ini dengan`AWSSSOReadOnly`.
**catatan**
Jika saat ini Anda menggunakan kebijakan ini, beralihlah ke `AmazonWorkSpacesSecureBrowserReadOnly` kebijakan baru.
**Detail izin**
Kebijakan ini mencakup izin berikut.
+ `workspaces-web`— Menyediakan akses read-only ke WorkSpaces Secure Browser dan dependensinya melalui AWS Management Console, SDK, dan CLI.
+ `ec2`— Memungkinkan kepala sekolah untuk mendeskripsikan VPCs, subnet, dan kelompok keamanan. Ini digunakan di Konsol AWS Manajemen di Browser WorkSpaces Aman untuk menunjukkan kepada Anda VPCs, subnet, dan grup keamanan yang tersedia untuk digunakan dengan layanan.
+ `Kinesis`- Memungkinkan kepala sekolah untuk daftar aliran data Kinesis. Ini digunakan di Konsol AWS Manajemen di Browser WorkSpaces Aman untuk menunjukkan aliran data Kinesis yang tersedia untuk digunakan dengan layanan.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"workspaces-web:GetBrowserSettings",
"workspaces-web:GetIdentityProvider",
"workspaces-web:GetNetworkSettings",
"workspaces-web:GetPortal",
"workspaces-web:GetPortalServiceProviderMetadata",
"workspaces-web:GetTrustStore",
"workspaces-web:GetTrustStoreCertificate",
"workspaces-web:GetUserSettings",
"workspaces-web:GetUserAccessLoggingSettings",
"workspaces-web:ListBrowserSettings",
"workspaces-web:ListIdentityProviders",
"workspaces-web:ListNetworkSettings",
"workspaces-web:ListPortals",
"workspaces-web:ListTagsForResource",
"workspaces-web:ListTrustStoreCertificates",
"workspaces-web:ListTrustStores",
"workspaces-web:ListUserSettings",
"workspaces-web:ListUserAccessLoggingSettings"
],
"Resource": "arn:aws:workspaces-web:*:*:*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"kinesis:ListStreams"
],
"Resource": "*"
}
]
}
```
# WorkSpaces Mengamankan pembaruan Browser ke kebijakan AWS terkelola
Lihat detail tentang pembaruan kebijakan AWS terkelola untuk Browser WorkSpaces Aman sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan ke umpan RSS pada halaman [Riwayat dokumen untuk Panduan Administrasi Browser WorkSpaces Aman Amazon](doc-history.md).
| Perubahan | Deskripsi | Date |
| --- | --- | --- |
| [AmazonWorkSpacesSecureBrowserReadOnly](security-iam-awsmanpol-AmazonWorkSpacesSecureBrowserReadOnly.md) – Kebijakan baru | WorkSpaces Secure Browser menambahkan kebijakan baru untuk menyediakan akses hanya-baca ke WorkSpaces Secure Browser dan dependensinya melalui AWS Management Console, SDK, dan CLI. | 24 Juni 2024 |
| [AmazonWorkSpacesWebServiceRolePolicy](security-iam-awsmanpol-AmazonWorkSpacesWebServiceRolePolicy.md)— Kebijakan yang diperbarui | WorkSpaces Secure Browser memperbarui kebijakan CreateNetworkInterface untuk membatasi tag dengan aws:RequestTag/WorkSpacesWebManaged: true and act on subnet and security group resources, as well as restrict DeleteNetworkInterface to ENIs tagged with aws:ResourceTag/WorkSpacesWebManaged: true. | 15 Desember 2022 |
| [AmazonWorkSpacesWebReadOnly](security-iam-awsmanpol-AmazonWorkSpacesWebReadOnly.md)— Kebijakan yang diperbarui | WorkSpaces Browser Aman memperbarui kebijakan untuk menyertakan izin baca untuk pencatatan akses pengguna dan daftar aliran data Kinesis. Untuk informasi selengkapnya, lihat [Menyiapkan pencatatan aktivitas pengguna di Amazon WorkSpaces Secure Browser](user-logging.md). | 2 November 2022 |
| [AmazonWorkSpacesWebServiceRolePolicy](security-iam-awsmanpol-AmazonWorkSpacesWebServiceRolePolicy.md)— Kebijakan yang diperbarui | WorkSpaces Secure Browser memperbarui kebijakan untuk menjelaskan ringkasan aliran data Kinesis dan memasukkan catatan ke dalam aliran data Kinesis untuk pencatatan akses pengguna. Untuk informasi selengkapnya, lihat [Menyiapkan pencatatan aktivitas pengguna di Amazon WorkSpaces Secure Browser](user-logging.md). | Oktober 17, 2022 |
| [AmazonWorkSpacesWebServiceRolePolicy](security-iam-awsmanpol-AmazonWorkSpacesWebServiceRolePolicy.md)— Kebijakan yang diperbarui | WorkSpaces Secure Browser memperbarui kebijakan untuk membuat tag selama pembuatan ENI. | September 6, 2022 |
| [AmazonWorkSpacesWebServiceRolePolicy](security-iam-awsmanpol-AmazonWorkSpacesWebServiceRolePolicy.md)— Kebijakan yang diperbarui | WorkSpaces Secure Browser memperbarui kebijakan untuk menambahkan AWS/Usage namespace ke izin PutMetricData API. | April 6, 2022 |
| [AmazonWorkSpacesWebReadOnly](security-iam-awsmanpol-AmazonWorkSpacesWebReadOnly.md) – Kebijakan baru | WorkSpaces Secure Browser menambahkan kebijakan baru untuk menyediakan akses hanya-baca ke WorkSpaces Secure Browser dan dependensinya melalui AWS Management Console, SDK, dan CLI. | 30 November 2021 |
| [AmazonWorkSpacesWebServiceRolePolicy](security-iam-awsmanpol-AmazonWorkSpacesWebServiceRolePolicy.md) – Kebijakan baru | WorkSpaces Secure Browser menambahkan kebijakan baru untuk mengizinkan akses ke layanan AWS dan sumber daya yang digunakan atau dikelola oleh WorkSpaces Secure Browser. | 30 November 2021 |
| WorkSpaces Browser Aman mulai melacak perubahan | WorkSpaces Browser Aman mulai melacak perubahan untuk kebijakan yang AWS dikelola. | 30 November 2021 |