本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS WorkSpaces 安全浏览器的托管策略
要向用户、群组和角色添加权限,使用 AWS 托管策略比自己编写策略要容易得多。创建仅为团队提供所需权限的 [IAM 客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)需要时间和专业知识。要快速入门,您可以使用我们的 AWS 托管策略。这些政策涵盖常见用例,可在您的 AWS 账户中使用。有关 AWS 托管策略的更多信息,请参阅 *IAM 用户指南*中的[AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
AWS 服务维护和更新 AWS 托管策略。您无法更改 AWS 托管策略中的权限。服务偶尔可能会向 AWS 托管策略添加其他权限以支持新功能。此类更新会影响附加策略的所有身份(用户、组和角色)。当启动新特征或新操作可用时,服务最有可能会更新 AWS 托管式策略。服务不会从 AWS 托管策略中移除权限,因此策略更新不会破坏您的现有权限。
此外,还 AWS 支持跨多个服务的工作职能的托管策略。例如,`ReadOnlyAccess` AWS 托管策略提供对所有 AWS 服务和资源的只读访问权限。当服务启动一项新功能时, AWS 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅 *IAM 用户指南*中的[适用于工作职能的AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
**Topics**
+ [AWS 托管策略: AmazonWorkSpacesWebServiceRolePolicy](security-iam-awsmanpol-AmazonWorkSpacesWebServiceRolePolicy.md)
+ [AWS 托管策略: AmazonWorkSpacesSecureBrowserReadOnly](security-iam-awsmanpol-AmazonWorkSpacesSecureBrowserReadOnly.md)
+ [AWS 托管策略: AmazonWorkSpacesWebReadOnly](security-iam-awsmanpol-AmazonWorkSpacesWebReadOnly.md)
+ [WorkSpaces AWS 托管策略的安全浏览器更新](security-iam-awsmanpol-updates.md)
# AWS 托管策略: AmazonWorkSpacesWebServiceRolePolicy
无法将 `AmazonWorkSpacesWebServiceRolePolicy` 策略附加到 IAM 实体。此策略附加到服务相关角色,该角色允许 WorkSpaces 安全浏览器代表您执行操作。有关更多信息,请参阅 [在 Amazon WorkSpaces 安全浏览器中使用服务相关角色](using-service-linked-roles.md)。
此策略授予管理权限,允许访问 WorkSpaces 安全浏览器使用或管理的 AWS 服务和资源。
**权限详细信息**
该策略包含以下权限:
+ `workspaces-web`— 允许访问 WorkSpaces 安全浏览器使用或管理的 AWS 服务和资源。
+ `ec2`— 允许委托人描述 VPCs、子网和可用区;创建、标记、描述和删除网络接口;关联或取消关联地址;以及描述路由表、安全组和 VPC 终端节点。
+ `CloudWatch` – 允许委托人放入指标数据。
+ `Kinesis` – 允许委托人描述 Kinesis 数据流的摘要,并将记录放入用户访问日志记录的 Kinesis 数据流中。有关更多信息,请参阅 [在 Amazon WorkSpaces 安全浏览器中设置用户活动记录](user-logging.md)。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeNetworkInterfaces",
"ec2:AssociateAddress",
"ec2:DisassociateAddress",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeVpcEndpoints"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws:ec2:*:*:subnet/*",
"arn:aws:ec2:*:*:security-group/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": "arn:aws:ec2:*:*:network-interface/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/WorkSpacesWebManaged": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:*:*:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateNetworkInterface"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"WorkSpacesWebManaged"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DeleteNetworkInterface"
],
"Resource": "arn:aws:ec2:*:*:network-interface/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/WorkSpacesWebManaged": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": [
"AWS/WorkSpacesWeb",
"AWS/Usage"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kinesis:PutRecord",
"kinesis:PutRecords",
"kinesis:DescribeStreamSummary"
],
"Resource": "arn:aws:kinesis:*:*:stream/amazon-workspaces-web-*"
}
]
}
```
# AWS 托管策略: AmazonWorkSpacesSecureBrowserReadOnly
您可以将 `AmazonWorkSpacesSecureBrowserReadOnly` 策略附加到 IAM 身份。
此策略授予只读权限,允许通过 AWS 管理控制台、SDK 和 CLI 访问 WorkSpaces 安全浏览器及其依赖项。此策略不包括使用 `IAM_Identity_Center` 作为身份验证类型与门户进行交互所需的权限。要获得这些权限,请将此策略与 `AWSSSOReadOnly` 相结合。
**权限详细信息**
该策略包含以下权限。
+ `workspaces-web`— 通过 AWS 管理控制台、SDK 和 CLI 提供对 WorkSpaces 安全浏览器及其依赖项的只读访问权限。
+ `ec2`— 允许委托人描述 VPCs子网和安全组。它用于 WorkSpaces 安全浏览器的 AWS 管理控制台中 VPCs,向您显示可用于该服务的子网和安全组。
+ `Kinesis` – 允许委托人列出 Kinesis 数据流。它用于 WorkSpaces 安全浏览器的 AWS 管理控制台中,向您显示可用于该服务的 Kinesis 数据流。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"workspaces-web:GetBrowserSettings",
"workspaces-web:GetIdentityProvider",
"workspaces-web:GetNetworkSettings",
"workspaces-web:GetPortal",
"workspaces-web:GetPortalServiceProviderMetadata",
"workspaces-web:GetTrustStore",
"workspaces-web:GetTrustStoreCertificate",
"workspaces-web:GetUserSettings",
"workspaces-web:GetUserAccessLoggingSettings",
"workspaces-web:ListBrowserSettings",
"workspaces-web:ListIdentityProviders",
"workspaces-web:ListNetworkSettings",
"workspaces-web:ListPortals",
"workspaces-web:ListTagsForResource",
"workspaces-web:ListTrustStoreCertificates",
"workspaces-web:ListTrustStores",
"workspaces-web:ListUserSettings",
"workspaces-web:ListUserAccessLoggingSettings"
],
"Resource": "arn:aws:workspaces-web:*:*:*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"kinesis:ListStreams"
],
"Resource": "*"
}
]
}
```
# AWS 托管策略: AmazonWorkSpacesWebReadOnly
您可以将 `AmazonWorkSpacesWebReadOnly` 策略附加到 IAM 身份。
此策略授予只读权限,允许通过 AWS 管理控制台、SDK 和 CLI 访问 WorkSpaces 安全浏览器及其依赖项。此策略不包括使用 `IAM_Identity_Center` 作为身份验证类型与门户进行交互所需的权限。要获得这些权限,请将此策略与 `AWSSSOReadOnly` 相结合。
**注意**
如果您当前正在使用此策略,请切换到新 `AmazonWorkSpacesSecureBrowserReadOnly` 策略。
**权限详细信息**
该策略包含以下权限。
+ `workspaces-web`— 通过 AWS 管理控制台、SDK 和 CLI 提供对 WorkSpaces 安全浏览器及其依赖项的只读访问权限。
+ `ec2`— 允许委托人描述 VPCs子网和安全组。它用于 WorkSpaces 安全浏览器的 AWS 管理控制台中 VPCs,向您显示可用于该服务的子网和安全组。
+ `Kinesis` – 允许委托人列出 Kinesis 数据流。它用于 WorkSpaces 安全浏览器的 AWS 管理控制台中,向您显示可用于该服务的 Kinesis 数据流。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"workspaces-web:GetBrowserSettings",
"workspaces-web:GetIdentityProvider",
"workspaces-web:GetNetworkSettings",
"workspaces-web:GetPortal",
"workspaces-web:GetPortalServiceProviderMetadata",
"workspaces-web:GetTrustStore",
"workspaces-web:GetTrustStoreCertificate",
"workspaces-web:GetUserSettings",
"workspaces-web:GetUserAccessLoggingSettings",
"workspaces-web:ListBrowserSettings",
"workspaces-web:ListIdentityProviders",
"workspaces-web:ListNetworkSettings",
"workspaces-web:ListPortals",
"workspaces-web:ListTagsForResource",
"workspaces-web:ListTrustStoreCertificates",
"workspaces-web:ListTrustStores",
"workspaces-web:ListUserSettings",
"workspaces-web:ListUserAccessLoggingSettings"
],
"Resource": "arn:aws:workspaces-web:*:*:*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"kinesis:ListStreams"
],
"Resource": "*"
}
]
}
```
# WorkSpaces AWS 托管策略的安全浏览器更新
查看有关 WorkSpaces 安全浏览器的 AWS 托管策略自该服务开始跟踪这些更改以来这些更新的详细信息。要获得有关此页面更改的自动提示,请订阅 [《Amazon WorkSpaces 安全浏览器管理指南》的文档历史记录](doc-history.md) 页面上的 RSS 源。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| [AmazonWorkSpacesSecureBrowserReadOnly](security-iam-awsmanpol-AmazonWorkSpacesSecureBrowserReadOnly.md) - 新策略 | WorkSpaces 安全浏览器添加了一项新策略,允许通过 AWS 管理控制台、软件开发工具包和 CLI 对 WorkSpaces 安全浏览器及其依赖项进行只读访问。 | 2024 年 6 月 24 日 |
| [AmazonWorkSpacesWebServiceRolePolicy](security-iam-awsmanpol-AmazonWorkSpacesWebServiceRolePolicy.md) - 更新的策略 | WorkSpaces 安全浏览器更新了政策,仅限使用 aw CreateNetworkInterface s:RequestTag/WorkSpacesWebManaged: true and act on subnet and security group resources, as well as restrict DeleteNetworkInterface to ENIs tagged with aws:ResourceTag/WorkSpacesWebManaged: true 进行标记。 | 2022 年 12 月 15 日 |
| [AmazonWorkSpacesWebReadOnly](security-iam-awsmanpol-AmazonWorkSpacesWebReadOnly.md) - 更新的策略 | WorkSpaces 安全浏览器更新了政策,增加了用户访问记录和列出 Kinesis 数据流的读取权限。有关更多信息,请参阅 [在 Amazon WorkSpaces 安全浏览器中设置用户活动记录](user-logging.md)。 | 2022 年 11 月 2 日 |
| [AmazonWorkSpacesWebServiceRolePolicy](security-iam-awsmanpol-AmazonWorkSpacesWebServiceRolePolicy.md) - 更新的策略 | WorkSpaces 安全浏览器更新了政策,描述了 Kinesis 数据流的摘要,并将记录放入 Kinesis 数据流中以供用户访问记录。有关更多信息,请参阅 [在 Amazon WorkSpaces 安全浏览器中设置用户活动记录](user-logging.md)。 | 2022 年 10 月 17 日 |
| [AmazonWorkSpacesWebServiceRolePolicy](security-iam-awsmanpol-AmazonWorkSpacesWebServiceRolePolicy.md) - 更新的策略 | WorkSpaces 安全浏览器更新了在创建 ENI 期间创建标签的策略。 | 2022 年 9 月 6 日 |
| [AmazonWorkSpacesWebServiceRolePolicy](security-iam-awsmanpol-AmazonWorkSpacesWebServiceRolePolicy.md) - 更新的策略 | WorkSpaces 安全浏览器更新了政策,将 AWS/Usage 命名空间添加到 PutMetricData API 权限中。 | 2022 年 4 月 6 日 |
| [AmazonWorkSpacesWebReadOnly](security-iam-awsmanpol-AmazonWorkSpacesWebReadOnly.md):新策略 | WorkSpaces 安全浏览器添加了一项新策略,允许通过 AWS 管理控制台、软件开发工具包和 CLI 对 WorkSpaces 安全浏览器及其依赖项进行只读访问。 | 2021 年 11 月 30 日 |
| [AmazonWorkSpacesWebServiceRolePolicy](security-iam-awsmanpol-AmazonWorkSpacesWebServiceRolePolicy.md):新策略 | WorkSpaces 安全浏览器添加了一项新政策,允许访问 WorkSpaces 安全浏览器使用或管理的 AWS 服务和资源。 | 2021 年 11 月 30 日 |
| WorkSpaces 安全浏览器已开始跟踪更改 | WorkSpaces 安全浏览器开始跟踪其 AWS 托管策略的更改。 | 2021 年 11 月 30 日 |