As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# AWS políticas gerenciadas para o WorkSpaces Secure Browser
Para adicionar permissões a usuários, grupos e funções, é mais fácil usar políticas AWS gerenciadas do que escrever políticas você mesmo. É necessário tempo e experiência para criar [políticas gerenciadas pelo cliente do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) que fornecem à sua equipe apenas as permissões de que precisam. Para começar rapidamente, você pode usar nossas políticas AWS gerenciadas. Essas políticas abrangem casos de uso comuns e estão disponíveis em sua AWS conta. Para obter mais informações sobre políticas AWS gerenciadas, consulte [políticas AWS gerenciadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.
AWS os serviços mantêm e atualizam as políticas AWS gerenciadas. Você não pode alterar as permissões nas políticas AWS gerenciadas. Ocasionalmente, os serviços podem adicionar permissões adicionais a uma política AWS gerenciada para oferecer suporte a novos recursos. Esse tipo de atualização afeta todas as identidades (usuários, grupos e funções) em que a política está anexada. É mais provável que os serviços atualizem uma política gerenciada pela AWS quando um novo recurso for iniciado ou novas operações se tornarem disponíveis. Os serviços não removem as permissões de uma política AWS gerenciada, portanto, as atualizações de políticas não violarão suas permissões existentes.
Além disso, AWS oferece suporte a políticas gerenciadas para funções de trabalho que abrangem vários serviços. Por exemplo, a política `ReadOnlyAccess` AWS gerenciada fornece acesso somente de leitura a todos os AWS serviços e recursos. Quando um serviço lança um novo recurso, AWS adiciona permissões somente de leitura para novas operações e recursos. Para obter uma lista e descrições das políticas de perfis de trabalho, consulte [Políticas gerenciadas pela AWS para perfis de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) no *Guia do usuário do IAM*.
**Topics**
+ [AWS política gerenciada: AmazonWorkSpacesWebServiceRolePolicy](security-iam-awsmanpol-AmazonWorkSpacesWebServiceRolePolicy.md)
+ [AWS política gerenciada: AmazonWorkSpacesSecureBrowserReadOnly](security-iam-awsmanpol-AmazonWorkSpacesSecureBrowserReadOnly.md)
+ [AWS política gerenciada: AmazonWorkSpacesWebReadOnly](security-iam-awsmanpol-AmazonWorkSpacesWebReadOnly.md)
+ [WorkSpaces Atualizações do Secure Browser para políticas AWS gerenciadas](security-iam-awsmanpol-updates.md)
# AWS política gerenciada: AmazonWorkSpacesWebServiceRolePolicy
Não é possível anexar a política `AmazonWorkSpacesWebServiceRolePolicy` às suas entidades do IAM. Essa política é anexada a uma função vinculada ao serviço que permite que o WorkSpaces Secure Browser execute ações em seu nome. Para obter mais informações, consulte [Usando funções vinculadas a serviços para o Amazon Secure WorkSpaces Browser](using-service-linked-roles.md).
Essa política concede permissões administrativas que permitem acesso aos AWS serviços e recursos usados ou gerenciados pelo WorkSpaces Secure Browser.
**Detalhes de permissões**
Esta política inclui as seguintes permissões:
+ `workspaces-web`— Permite acesso a AWS serviços e recursos usados ou gerenciados pelo WorkSpaces Secure Browser.
+ `ec2`— permite que os diretores descrevam VPCs, sub-redes e zonas de disponibilidade; criem, marquem, descrevam e excluam interfaces de rede; associem ou desassociem um endereço; e descrevam tabelas de rotas, grupos de segurança e endpoints de VPC.
+ `CloudWatch`: permite que as entidades principais coloquem dados de métricas.
+ `Kinesis`: permite que as entidades principais descrevam um resumo dos fluxos de dados do Kinesis e coloquem registros nos fluxos de dados do Kinesis para registro em log de acesso do usuário. Para obter mais informações, consulte [Configurando o registro de atividades do usuário no Amazon WorkSpaces Secure Browser](user-logging.md).
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeNetworkInterfaces",
"ec2:AssociateAddress",
"ec2:DisassociateAddress",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeVpcEndpoints"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws:ec2:*:*:subnet/*",
"arn:aws:ec2:*:*:security-group/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": "arn:aws:ec2:*:*:network-interface/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/WorkSpacesWebManaged": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:*:*:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateNetworkInterface"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"WorkSpacesWebManaged"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DeleteNetworkInterface"
],
"Resource": "arn:aws:ec2:*:*:network-interface/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/WorkSpacesWebManaged": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": [
"AWS/WorkSpacesWeb",
"AWS/Usage"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kinesis:PutRecord",
"kinesis:PutRecords",
"kinesis:DescribeStreamSummary"
],
"Resource": "arn:aws:kinesis:*:*:stream/amazon-workspaces-web-*"
}
]
}
```
# AWS política gerenciada: AmazonWorkSpacesSecureBrowserReadOnly
É possível anexar a política `AmazonWorkSpacesSecureBrowserReadOnly` às suas identidades do IAM.
Essa política concede permissões somente para leitura que permitem acesso ao WorkSpaces Secure Browser e suas dependências por meio do AWS Management Console, SDK e CLI. Essa política não inclui as permissões necessárias para interagir com portais usando o `IAM_Identity_Center` como tipo de autenticação. Para obter essas permissões, combine essa política com `AWSSSOReadOnly`.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `workspaces-web`— Fornece acesso somente de leitura ao WorkSpaces Secure Browser e suas dependências por meio do console AWS de gerenciamento, SDK e CLI.
+ `ec2`— Permite que os diretores descrevam VPCs, sub-redes e grupos de segurança. Isso é usado no console AWS de gerenciamento do WorkSpaces Secure Browser para mostrar suas VPCs sub-redes e grupos de segurança que estão disponíveis para uso com o serviço.
+ `Kinesis`: permite que as entidades principais listem fluxos de dados do Kinesis. Isso é usado no console AWS de gerenciamento do WorkSpaces Secure Browser para mostrar os streams de dados do Kinesis que estão disponíveis para uso com o serviço.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"workspaces-web:GetBrowserSettings",
"workspaces-web:GetIdentityProvider",
"workspaces-web:GetNetworkSettings",
"workspaces-web:GetPortal",
"workspaces-web:GetPortalServiceProviderMetadata",
"workspaces-web:GetTrustStore",
"workspaces-web:GetTrustStoreCertificate",
"workspaces-web:GetUserSettings",
"workspaces-web:GetUserAccessLoggingSettings",
"workspaces-web:ListBrowserSettings",
"workspaces-web:ListIdentityProviders",
"workspaces-web:ListNetworkSettings",
"workspaces-web:ListPortals",
"workspaces-web:ListTagsForResource",
"workspaces-web:ListTrustStoreCertificates",
"workspaces-web:ListTrustStores",
"workspaces-web:ListUserSettings",
"workspaces-web:ListUserAccessLoggingSettings"
],
"Resource": "arn:aws:workspaces-web:*:*:*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"kinesis:ListStreams"
],
"Resource": "*"
}
]
}
```
# AWS política gerenciada: AmazonWorkSpacesWebReadOnly
É possível anexar a política `AmazonWorkSpacesWebReadOnly` às suas identidades do IAM.
Essa política concede permissões somente para leitura que permitem acesso ao WorkSpaces Secure Browser e suas dependências por meio do AWS Management Console, SDK e CLI. Essa política não inclui as permissões necessárias para interagir com portais usando o `IAM_Identity_Center` como tipo de autenticação. Para obter essas permissões, combine essa política com `AWSSSOReadOnly`.
**nota**
Se você estiver usando essa política no momento, mude para a nova política de `AmazonWorkSpacesSecureBrowserReadOnly`.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `workspaces-web`— Fornece acesso somente de leitura ao WorkSpaces Secure Browser e suas dependências por meio do console AWS de gerenciamento, SDK e CLI.
+ `ec2`— Permite que os diretores descrevam VPCs, sub-redes e grupos de segurança. Isso é usado no console AWS de gerenciamento do WorkSpaces Secure Browser para mostrar suas VPCs sub-redes e grupos de segurança que estão disponíveis para uso com o serviço.
+ `Kinesis`: permite que as entidades principais listem fluxos de dados do Kinesis. Isso é usado no console AWS de gerenciamento do WorkSpaces Secure Browser para mostrar os streams de dados do Kinesis que estão disponíveis para uso com o serviço.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"workspaces-web:GetBrowserSettings",
"workspaces-web:GetIdentityProvider",
"workspaces-web:GetNetworkSettings",
"workspaces-web:GetPortal",
"workspaces-web:GetPortalServiceProviderMetadata",
"workspaces-web:GetTrustStore",
"workspaces-web:GetTrustStoreCertificate",
"workspaces-web:GetUserSettings",
"workspaces-web:GetUserAccessLoggingSettings",
"workspaces-web:ListBrowserSettings",
"workspaces-web:ListIdentityProviders",
"workspaces-web:ListNetworkSettings",
"workspaces-web:ListPortals",
"workspaces-web:ListTagsForResource",
"workspaces-web:ListTrustStoreCertificates",
"workspaces-web:ListTrustStores",
"workspaces-web:ListUserSettings",
"workspaces-web:ListUserAccessLoggingSettings"
],
"Resource": "arn:aws:workspaces-web:*:*:*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"kinesis:ListStreams"
],
"Resource": "*"
}
]
}
```
# WorkSpaces Atualizações do Secure Browser para políticas AWS gerenciadas
Veja detalhes sobre as atualizações das políticas AWS gerenciadas do WorkSpaces Secure Browser desde que esse serviço começou a rastrear essas alterações. Para obter alertas automáticos sobre alterações feitas nesta página, inscreva-se no feed RSS na página [Histórico de documentos do Guia de administração do Amazon WorkSpaces Secure Browser](doc-history.md).
| Alteração | Descrição | Data |
| --- | --- | --- |
| [AmazonWorkSpacesSecureBrowserReadOnly](security-iam-awsmanpol-AmazonWorkSpacesSecureBrowserReadOnly.md) – Nova política | WorkSpaces O Secure Browser adicionou uma nova política para fornecer acesso somente de leitura ao WorkSpaces Secure Browser e suas dependências por meio do AWS Management Console, SDK e CLI. | 24 de junho de 2024 |
| [AmazonWorkSpacesWebServiceRolePolicy](security-iam-awsmanpol-AmazonWorkSpacesWebServiceRolePolicy.md): política atualizada | WorkSpaces O Secure Browser atualizou a política CreateNetworkInterface para restringir a marcação com awsRequestTag/WorkSpacesWebManaged: true and act on subnet and security group resources, as well as restrict DeleteNetworkInterface to ENIs tagged with aws:ResourceTag/WorkSpacesWebManaged:: true. | 15 de dezembro de 2022 |
| [AmazonWorkSpacesWebReadOnly](security-iam-awsmanpol-AmazonWorkSpacesWebReadOnly.md): política atualizada | WorkSpaces O Secure Browser atualizou a política para incluir permissões de leitura para o registro de acesso do usuário e para listar streams de dados do Kinesis. Para obter mais informações, consulte [Configurando o registro de atividades do usuário no Amazon WorkSpaces Secure Browser](user-logging.md). | 2 de novembro de 2022 |
| [AmazonWorkSpacesWebServiceRolePolicy](security-iam-awsmanpol-AmazonWorkSpacesWebServiceRolePolicy.md): política atualizada | WorkSpaces O Secure Browser atualizou a política para descrever um resumo dos fluxos de dados do Kinesis e colocar registros nos fluxos de dados do Kinesis para registro de acesso do usuário. Para obter mais informações, consulte [Configurando o registro de atividades do usuário no Amazon WorkSpaces Secure Browser](user-logging.md). | 17 de outubro de 2022 |
| [AmazonWorkSpacesWebServiceRolePolicy](security-iam-awsmanpol-AmazonWorkSpacesWebServiceRolePolicy.md): política atualizada | WorkSpaces O Secure Browser atualizou a política para criar tags durante a criação do ENI. | 6 de setembro de 2022 |
| [AmazonWorkSpacesWebServiceRolePolicy](security-iam-awsmanpol-AmazonWorkSpacesWebServiceRolePolicy.md): política atualizada | WorkSpaces O Secure Browser atualizou a política para adicionar o AWS/Usage namespace às permissões da PutMetricData API. | 6 de abril de 2022 |
| [AmazonWorkSpacesWebReadOnly](security-iam-awsmanpol-AmazonWorkSpacesWebReadOnly.md) – Nova política | WorkSpaces O Secure Browser adicionou uma nova política para fornecer acesso somente de leitura ao WorkSpaces Secure Browser e suas dependências por meio do AWS Management Console, SDK e CLI. | 30 de novembro de 2021 |
| [AmazonWorkSpacesWebServiceRolePolicy](security-iam-awsmanpol-AmazonWorkSpacesWebServiceRolePolicy.md) – Nova política | WorkSpaces O Secure Browser adicionou uma nova política para permitir o acesso aos serviços e recursos da AWS usados ou gerenciados pelo WorkSpaces Secure Browser. | 30 de novembro de 2021 |
| WorkSpaces O Secure Browser começou a rastrear as alterações | WorkSpaces O Secure Browser começou a rastrear as alterações em suas políticas AWS gerenciadas. | 30 de novembro de 2021 |