翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS マネージドポリシー: AmazonWorkSpacesWebServiceRolePolicy
<a name="security-iam-awsmanpol-AmazonWorkSpacesWebServiceRolePolicy"></a>









IAM エンティティに `AmazonWorkSpacesWebServiceRolePolicy` ポリシーをアタッチすることはできません。このポリシーは、ユーザーに代わって WorkSpaces Secure Browser がアクションを実行することを許可する、サービスリンクロールにアタッチされます。詳細については、「[Amazon WorkSpaces Secure Browser のサービスリンクロール](using-service-linked-roles.md)」を参照してください。



このポリシーは、WorkSpaces Secure Browser が使用または管理する AWS サービスおよびリソースへのアクセスを許可する管理アクセス許可を付与します。



**アクセス許可の詳細**

このポリシーには、以下のアクセス許可が含まれています。




+ `workspaces-web` – WorkSpaces Secure Browser が使用または管理する AWS サービスとリソースへのアクセスを許可します。
+ `ec2` – プリンシパルが VPC、サブネット、アベイラビリティーゾーンの説明、ネットワークインターフェイスの作成、タグ付け、説明、削除、アドレスの関連付けまたは関連付け解除、ルートテーブル、セキュリティグループ、VPC エンドポイントの説明を行うことができます。
+ `CloudWatch` – プリンシパルがメトリクスデータを入力できるようにします。
+ `Kinesis` - プリンシパルが Kinesis データストリームの概要を記述し、レコードを Kinesis データストリームに入力してユーザーアクセスロギングを行うことができます。詳細については、「[Amazon WorkSpaces Secure Browser でのユーザーアクティビティログ記録の設定](user-logging.md)」を参照してください。



```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeNetworkInterfaces",
                "ec2:AssociateAddress",
                "ec2:DisassociateAddress",
                "ec2:DescribeRouteTables",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeVpcEndpoints"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:subnet/*",
                "arn:aws:ec2:*:*:security-group/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface"
            ],
            "Resource": "arn:aws:ec2:*:*:network-interface/*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/WorkSpacesWebManaged": "true"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "arn:aws:ec2:*:*:network-interface/*",
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": "CreateNetworkInterface"
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": [
                        "WorkSpacesWebManaged"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DeleteNetworkInterface"
            ],
            "Resource": "arn:aws:ec2:*:*:network-interface/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/WorkSpacesWebManaged": "true"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": [
                        "AWS/WorkSpacesWeb",
                        "AWS/Usage"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "kinesis:PutRecord",
                "kinesis:PutRecords",
                "kinesis:DescribeStreamSummary"
            ],
            "Resource": "arn:aws:kinesis:*:*:stream/amazon-workspaces-web-*"
        }
    ]
}
```