本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # WorkSpaces 安全瀏覽器的服務連結角色許可 WorkSpaces 安全瀏覽器使用名為 的服務連結角色 `AWSServiceRoleForAmazonWorkSpacesWeb` – WorkSpaces 安全瀏覽器使用此服務連結角色來存取客戶帳戶的 Amazon EC2 資源,以進行串流執行個體和 CloudWatch 指標。 `AWSServiceRoleForAmazonWorkSpacesWeb` 服務連結角色信任下列服務以擔任角色: + `workspaces-web.amazonaws.com` 名為 的角色許可政策`AmazonWorkSpacesWebServiceRolePolicy`允許 WorkSpaces 安全瀏覽器對指定的資源完成下列動作。如需詳細資訊,請參閱[AWS 受管政策:AmazonWorkSpacesWebServiceRolePolicy](security-iam-awsmanpol-AmazonWorkSpacesWebServiceRolePolicy.md)。 + 動作:`all AWS resources` 上的 `ec2:DescribeVpcs` + 動作:`all AWS resources` 上的 `ec2:DescribeSubnets` + 動作:`all AWS resources` 上的 `ec2:DescribeAvailabilityZones` + 動作:在子網路和安全群組資源上具有 `aws:RequestTag/WorkSpacesWebManaged: true` 的 `ec2:CreateNetworkInterface` + 動作:`all AWS resources` 上的 `ec2:DescribeNetworkInterfaces` + 動作:在網路介面上具有 `aws:ResourceTag/WorkSpacesWebManaged: true` 的 `ec2:DeleteNetworkInterface` + 動作:`all AWS resources` 上的 `ec2:DescribeSubnets` + 動作:`all AWS resources` 上的 `ec2:AssociateAddress` + 動作:`all AWS resources` 上的 `ec2:DisassociateAddress` + 動作:`all AWS resources` 上的 `ec2:DescribeRouteTables` + 動作:`all AWS resources` 上的 `ec2:DescribeSecurityGroups` + 動作:`all AWS resources` 上的 `ec2:DescribeVpcEndpoints` + 動作:`ec2:CreateNetworkInterface` 上的 `ec2:CreateTags` 使用 `aws:TagKeys: ["WorkSpacesWebManaged"]` 進行操作 + 動作:`all AWS resources` 上的 `cloudwatch:PutMetricData` + 動作:在名稱開頭為 `amazon-workspaces-web-` 之 Kinesis 資料串流上的 `kinesis:PutRecord` + 動作:在名稱開頭為 `amazon-workspaces-web-` 之 Kinesis 資料串流上的 `kinesis:PutRecords` + 動作:在名稱開頭為 `amazon-workspaces-web-` 之 Kinesis 資料串流上的 `kinesis:DescribeStreamSummary` 您必須設定許可,IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。