本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # WorkSpaces 安全浏览器的服务相关角色权限 WorkSpaces 安全浏览器使用名为的服务相关角色 `AWSServiceRoleForAmazonWorkSpacesWeb` —— WorkSpaces 安全浏览器使用此服务相关角色访问客户账户的 Amazon EC2 资源以获取流媒体实例和 CloudWatch 指标。 `AWSServiceRoleForAmazonWorkSpacesWeb` 服务相关角色信任以下服务代入该角色: + `workspaces-web.amazonaws.com` 名为的角色权限策略`AmazonWorkSpacesWebServiceRolePolicy`允许 WorkSpaces 安全浏览器对指定资源完成以下操作。有关更多信息,请参阅 [AWS 托管策略: AmazonWorkSpacesWebServiceRolePolicy](security-iam-awsmanpol-AmazonWorkSpacesWebServiceRolePolicy.md)。 + 操作:`all AWS resources` 上的 `ec2:DescribeVpcs` + 操作:`ec2:DescribeSubnets` 上的 `all AWS resources` + 操作:`ec2:DescribeAvailabilityZones` 上的 `all AWS resources` + 操作:针对子网和安全组资源的 `ec2:CreateNetworkInterface` 操作(通过 `aws:RequestTag/WorkSpacesWebManaged: true`) + 操作:`all AWS resources` 上的 `ec2:DescribeNetworkInterfaces` + 操作:针对网络接口的 `ec2:DeleteNetworkInterface` 操作(通过 `aws:ResourceTag/WorkSpacesWebManaged: true`) + 操作:`all AWS resources` 上的 `ec2:DescribeSubnets` + 操作:`ec2:AssociateAddress` 上的 `all AWS resources` + 操作:`ec2:DisassociateAddress` 上的 `all AWS resources` + 操作:`ec2:DescribeRouteTables` 上的 `all AWS resources` + 操作:`ec2:DescribeSecurityGroups` 上的 `all AWS resources` + 操作:`ec2:DescribeVpcEndpoints` 上的 `all AWS resources` + 操作:针对 `ec2:CreateNetworkInterface` 的 `ec2:CreateTags` 操作(通过 `aws:TagKeys: ["WorkSpacesWebManaged"]`) + 操作:`all AWS resources` 上的 `cloudwatch:PutMetricData` + 操作:针对名称以 `amazon-workspaces-web-` 开头的 Kinesis 数据流的 `kinesis:PutRecord` 操作 + 操作:针对名称以 `amazon-workspaces-web-` 开头的 Kinesis 数据流的 `kinesis:PutRecords` 操作 + 操作:针对名称以 `amazon-workspaces-web-` 开头的 Kinesis 数据流的 `kinesis:DescribeStreamSummary` 操作 您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务关联角色。有关更多信息,请参阅《IAM 用户指南》**中的[服务关联角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。