Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Aktionen, Ressourcen und Bedingungsschlüssel für Amazon WorkSpaces
Amazon WorkSpaces (Service-Präfix:workspaces) stellt die folgenden servicespezifischen Ressourcen, Aktionen und Bedingungskontextschlüssel zur Verwendung in IAM Berechtigungsrichtlinien bereit.
Referenzen:
-
Erfahren Sie, wie Sie diesen Service konfigurieren.
-
Sehen Sie sich eine Liste der für diesen Service verfügbaren API Operationen an.
-
Erfahren Sie, wie Sie diesen Dienst und seine Ressourcen mithilfe von IAM Berechtigungsrichtlinien schützen können.
Themen
Von Amazon definierte Aktionen WorkSpaces
Sie können die folgenden Aktionen im Action Element einer IAM Grundsatzerklärung angeben. Verwenden Sie Richtlinien, um Berechtigungen zum Ausführen einer Operation in AWS zu erteilen. Wenn Sie eine Aktion in einer Richtlinie verwenden, gewähren oder verweigern Sie normalerweise den Zugriff auf den API Vorgang oder CLI Befehl mit demselben Namen. Dabei kann es mitunter vorkommen, dass eine einzige Aktion den Zugriff auf mehr als eine Operation steuert. Alternativ erfordern einige Vorgänge mehrere verschiedene Aktionen.
Die Spalte Resource types (Ressourcentypen) der Aktionstabelle gibt an, ob die Aktion Berechtigungen auf Ressourcenebene unterstützt. Wenn es keinen Wert für diese Spalte gibt, müssen Sie alle Ressourcen ("*") im Element Resource Ihrer Richtlinienanweisung angeben. Wenn die Spalte einen Ressourcentyp enthält, können Sie in ARN einer Anweisung mit dieser Aktion einen Ressourcentyp angeben. Wenn für die Aktion eine oder mehrere Ressourcen erforderlich sind, muss der Aufrufer die Erlaubnis haben, die Aktion mit diesen Ressourcen zu verwenden. Erforderliche Ressourcen sind in der Tabelle mit einem Sternchen (*) gekennzeichnet. Wenn Sie den Ressourcenzugriff mit dem Resource Element in einer IAM Richtlinie einschränken, müssen Sie für jeden erforderlichen Ressourcentyp ein ARN Oder-Muster angeben. Einige Aktionen unterstützen mehrere Ressourcentypen. Wenn der Ressourcentyp optional ist (nicht als erforderlich angegeben), können Sie sich für einen der optionalen Ressourcentypen entscheiden.
Die Spalte Bedingungsschlüssel der Tabelle der Aktionen enthält Schlüssel, die Sie im Element Condition einer Richtlinienanweisung angeben können. Weitere Informationen zu den Bedingungsschlüsseln, die den Ressourcen für den Service zugeordnet sind, finden Sie in der Spalte Bedingungsschlüssel der Tabelle der Ressourcentypen.
Anmerkung
Die Ressourcenbedingungsschlüssel sind in der Tabelle Ressourcentypen enthalten. Sie finden einen Link zu dem Ressourcentyp, der für eine Aktion gilt, in der Spalte Ressourcentypen (*erforderlich) der Tabelle „Aktionen“. Der Ressourcentyp in der Tabelle „Ressourcentypen“ enthält die Spalte Bedingungsschlüssel. Das sind die Ressourcenbedingungsschlüssel, die für eine Aktion in der Tabelle „Aktionen“ gelten.
Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Aktionen
| Aktionen | Beschreibung | Zugriffsebene | Ressourcentypen (*erforderlich) | Bedingungsschlüssel | Abhängige Aktionen |
|---|---|---|---|---|---|
| AcceptAccountLinkInvitation | Erteilt die Erlaubnis, Einladungen von anderen AWS Konten anzunehmen, die dieselbe Konfiguration verwenden, für WorkSpaces BYOL | Schreiben | |||
| AssociateConnectionAlias | Gewährt die Berechtigung zum Verknüpfen von Verbindungsaliasen mit Verzeichnissen | Write | |||
| AssociateIpGroups | Gewährt die Berechtigung zum Verknüpfen von IP-Zugriffskontrollgruppen mit Verzeichnissen | Schreiben | |||
| AssociateWorkspaceApplication | Erteilt die Berechtigung, eine Workspace-Anwendung einem zuzuordnen WorkSpace | Schreiben | |||
| AuthorizeIpRules | Gewährt die Berechtigung zum Hinzufügen von Regeln zu IP-Zugriffskontrollgruppen | Schreiben |
workspaces:UpdateRulesOfIpGroup |
||
| CopyWorkspaceImage | Erteilt die Erlaubnis, ein WorkSpace Bild zu kopieren | Schreiben |
workspaces:DescribeWorkspaceImages |
||
| CreateAccountLinkInvitation | Erteilt die Berechtigung, andere AWS Konten einzuladen, dieselbe Konfiguration für zu verwenden WorkSpaces BYOL | Schreiben | |||
| CreateConnectClientAddIn | Gewährt die Berechtigung zum Erstellen eines Amazon-Connect-Client-Add-Ins in einem Verzeichnis | Schreiben | |||
| CreateConnectionAlias | Gewährt die Berechtigung zum Erstellen von Verbindungsaliasen zur Verwendung mit regionsübergreifender Umleitung | Write | |||
| CreateIpGroup | Gewährt die Berechtigung zum Erstellen von IP-Zugriffskontrollgruppen | Schreiben | |||
| CreateStandbyWorkspaces | Erteilt die Erlaubnis, einen oder mehrere Standby-Server zu erstellen WorkSpaces | Schreiben | |||
| CreateTags | Erteilt die Erlaubnis, Tags für WorkSpaces Ressourcen zu erstellen | Tagging | |||
| CreateUpdatedWorkspaceImage | Erteilt die Erlaubnis, ein aktualisiertes WorkSpace Bild zu erstellen | Schreiben | |||
| CreateWorkspaceBundle | Erteilt die Erlaubnis, ein WorkSpace Bundle zu erstellen | Schreiben |
workspaces:CreateTags |
||
| CreateWorkspaceImage | Erteilt die Erlaubnis, ein neues WorkSpace Image zu erstellen | Schreiben | |||
| CreateWorkspaces | Erteilt die Erlaubnis, eines oder mehrere zu erstellen WorkSpaces | Schreiben | |||
| CreateWorkspacesPool | Erteilt die Erlaubnis, einen WorkSpaces Pool zu erstellen | Schreiben | |||
| DeleteAccountLinkInvitation | Erteilt die Erlaubnis, Einladungen an andere AWS Konten zu löschen, die dieselbe Konfiguration verwenden WorkSpaces BYOL | Schreiben | |||
| DeleteClientBranding | Erteilt die Berechtigung zum Löschen von AWS WorkSpaces Client-Branding-Daten in einem Verzeichnis | Schreiben | |||
| DeleteConnectClientAddIn | Gewährt die Berechtigung zum Löschen eines Amazon-Connect-Client-Add-Ins, das in einem Verzeichnis konfiguriert ist | Schreiben | |||
| DeleteConnectionAlias | Gewährt die Berechtigung zum Löschen eines Verbindungs-Aliases | Write | |||
| DeleteIpGroup | Gewährt Berechtigung zum Löschen von IP-Zugriffskontrollgruppen | Schreiben | |||
| DeleteTags | Erteilt die Berechtigung zum Löschen von Tags aus WorkSpaces Ressourcen | Tagging | |||
| DeleteWorkspaceBundle | Erteilt die Erlaubnis zum Löschen von WorkSpace Bundles | Schreiben | |||
| DeleteWorkspaceImage | Erteilt die Erlaubnis zum Löschen von Bildern WorkSpace | Schreiben | |||
| DeployWorkspaceApplications | Erteilt die Berechtigung zur Bereitstellung aller ausstehenden Workspace-Anwendungen auf einem WorkSpace | Schreiben | |||
| DeregisterWorkspaceDirectory | Erteilt die Erlaubnis, Verzeichnisse für die Verwendung mit Amazon zu deregistrieren WorkSpaces | Schreiben | |||
| DescribeAccount | Erteilt die Erlaubnis, die Konfiguration von Bring Your Own License (BYOL) für Konten abzurufen WorkSpaces | Lesen | |||
| DescribeAccountModifications | Erteilt die Erlaubnis, Änderungen an der Konfiguration von Bring Your Own License (BYOL) für WorkSpaces Konten abzurufen | Lesen | |||
| DescribeApplicationAssociations | Erteilt die Berechtigung zum Abrufen von Informationen über Ressourcen, die einer WorkSpace Anwendung zugeordnet sind | Auflisten | |||
| DescribeApplications | Erteilt die Erlaubnis, Informationen über WorkSpace Anwendungen zu erhalten | Auflisten | |||
| DescribeBundleAssociations | Erteilt die Berechtigung zum Abrufen von Informationen über Ressourcen, die einem WorkSpace Bundle zugeordnet sind | Auflisten | |||
| DescribeClientBranding | Erteilt die Berechtigung zum Abrufen von AWS WorkSpaces Client-Branding-Daten in einem Verzeichnis | Lesen | |||
| DescribeClientProperties | Erteilt die Berechtigung zum Abrufen von Informationen über WorkSpaces Kunden | Auflisten | |||
| DescribeConnectClientAddIns | Gewährt die Berechtigung zum Abrufen einer Liste von Amazon-Connect-Client-Add-Ins, die erstellt wurden | Auflisten | |||
| DescribeConnectionAliasPermissions | Erteilt die Berechtigung zum Abrufen der Berechtigungen, die die Besitzer von Verbindungsaliasnamen anderen AWS Konten für Verbindungsaliase erteilt haben | Lesen | |||
| DescribeConnectionAliases | Gewährt die Berechtigung zum Abrufen einer Liste, die die für die regionsübergreifende Umleitung verwendeten Verbindungsaliase beschreibt | Lesen | |||
| DescribeImageAssociations | Erteilt die Berechtigung zum Abrufen von Informationen über Ressourcen, die mit einem Bild verknüpft sind WorkSpace | Auflisten | |||
| DescribeIpGroups | Gewährt die Berechtigung zum Abrufen von Informationen über IP-Zugriffskontrollgruppen | Lesen | |||
| DescribeTags | Erteilt die Erlaubnis, die Tags für WorkSpaces Ressourcen zu beschreiben | Lesen | |||
| DescribeWorkspaceAssociations | Erteilt die Berechtigung zum Abrufen von Informationen über Ressourcen, die mit einem verknüpft sind WorkSpace | Auflisten | |||
| DescribeWorkspaceBundles | Erteilt die Erlaubnis, Informationen über WorkSpace Bundles abzurufen | Auflisten | |||
| DescribeWorkspaceDirectories | Erteilt die Berechtigung zum Abrufen von Informationen über Verzeichnisse, die bei registriert sind WorkSpaces | Lesen | |||
| DescribeWorkspaceImagePermissions | Erteilt die Berechtigung zum Abrufen von Informationen über WorkSpace Bildberechtigungen | Lesen | |||
| DescribeWorkspaceImages | Erteilt die Erlaubnis zum Abrufen von Informationen über WorkSpace Bilder | Auflisten | |||
| DescribeWorkspaceSnapshots | Erteilt die Berechtigung zum Abrufen von Informationen über WorkSpace Schnappschüsse | Auflisten | |||
| DescribeWorkspaces | Erteilt die Erlaubnis zum Abrufen von Informationen über WorkSpaces | Auflisten | |||
| DescribeWorkspacesConnectionStatus | Erteilt die Berechtigung zum Abrufen des Verbindungsstatus von WorkSpaces | Lesen | |||
| DescribeWorkspacesPoolSessions | Erteilt die Berechtigung zum Abrufen von Informationen über die Sitzungen eines WorkSpaces Pools | Auflisten | |||
| DescribeWorkspacesPools | Erteilt die Berechtigung zum Abrufen von Informationen über WorkSpaces Pools | Auflisten | |||
| DisassociateConnectionAlias | Gewährt die Berechtigung zum Trennen von Verbindungsaliasen von Verzeichnissen | Write | |||
| DisassociateIpGroups | Gewährt die Berechtigung zum Trennen von IP-Zugriffskontrollgruppen von Verzeichnissen | Schreiben | |||
| DisassociateWorkspaceApplication | Erteilt die Berechtigung, die Zuordnung einer Workspace-Anwendung zu einem zu trennen WorkSpace | Schreiben | |||
| GetAccountLink | Erteilt die Berechtigung zum Abrufen eines Links mit einem anderen AWS Konto zur gemeinsamen Nutzung der Konfiguration für WorkSpaces BYOL | Lesen | |||
| ImportClientBranding | Erteilt die Erlaubnis, Branding-Daten AWS WorkSpaces des Kunden in ein Verzeichnis zu importieren | Schreiben | |||
| ImportWorkspaceImage | Erteilt die Erlaubnis, Bring Your Own License (BYOL) -Bilder in Amazon zu importieren WorkSpaces | Schreiben |
ec2:DescribeImages ec2:ModifyImageAttribute |
||
| ListAccountLinks | Erteilt die Erlaubnis, Links zu den AWS Konten abzurufen, für die Ihre Konfiguration dieselbe ist WorkSpaces BYOL | Auflisten | |||
| ListAvailableManagementCidrRanges | Erteilt die Erlaubnis, die verfügbaren CIDR Bereiche für die Aktivierung von Bring Your Own License (BYOL) für WorkSpaces Konten aufzulisten | Auflisten | |||
| MigrateWorkspace | Erteilt die Erlaubnis zur Migration WorkSpaces | Schreiben | |||
| ModifyAccount | Erteilt die Erlaubnis, die Konfiguration von Bring Your Own License (BYOL) für WorkSpaces Konten zu ändern | Schreiben | |||
| ModifyCertificateBasedAuthProperties | Gewährt die Berechtigung zum Ändern der zertifikatsbasierten Autorisierungseigenschaften eines Verzeichnisses | Schreiben | |||
| ModifyClientProperties | Erteilt die Berechtigung, die Eigenschaften von WorkSpaces Clients zu ändern | Schreiben | |||
| ModifySamlProperties | Erteilt die Berechtigung, die SAML Eigenschaften eines Verzeichnisses zu ändern | Schreiben | |||
| ModifySelfservicePermissions | Erteilt die Berechtigung, die WorkSpace Self-Service-Verwaltungsfunktionen für Ihre Benutzer zu ändern | Berechtigungsverwaltung | |||
| ModifyStreamingProperties | Erteilt die Berechtigung zum Ändern der Streaming-Eigenschaften | Schreiben | |||
| ModifyWorkspaceAccessProperties | Erteilt die Berechtigung, anzugeben, mit welchen Geräten und Betriebssystemen Benutzer auf ihre WorkSpaces | Schreiben | |||
| ModifyWorkspaceCreationProperties | Erteilt die Berechtigung zum Ändern der Standardeigenschaften, die zum Erstellen verwendet wurden WorkSpaces | Schreiben | |||
| ModifyWorkspaceProperties | Erteilt die Berechtigung zum Ändern von WorkSpace Eigenschaften, einschließlich des Ausführungsmodus und des AutoStop Zeitraums | Schreiben | |||
| ModifyWorkspaceState | Erteilt die Erlaubnis, den Status von zu ändern WorkSpaces | Schreiben | |||
| RebootWorkspaces | Erteilt die Erlaubnis zum Neustart WorkSpaces | Schreiben | |||
| RebuildWorkspaces | Erteilt die Erlaubnis zum Neuaufbau WorkSpaces | Schreiben | |||
| RegisterWorkspaceDirectory | Erteilt die Erlaubnis, Verzeichnisse für die Verwendung bei Amazon zu registrieren WorkSpaces | Schreiben | |||
| RejectAccountLinkInvitation | Erteilt die Erlaubnis, Einladungen von anderen AWS Konten abzulehnen, die dieselbe Konfiguration verwenden für WorkSpaces BYOL | Schreiben | |||
| RestoreWorkspace | Erteilt die Erlaubnis zur Wiederherstellung WorkSpaces | Schreiben | |||
| RevokeIpRules | Gewährt die Berechtigung zum Entfernen von Regeln aus IP-Zugriffskontrollgruppen | Schreiben |
workspaces:UpdateRulesOfIpGroup |
||
| StartWorkspaces | Erteilt die Erlaubnis zum Starten AutoStop WorkSpaces | Schreiben | |||
| StartWorkspacesPool | Erteilt die Erlaubnis, einen WorkSpaces Pool zu starten | Schreiben | |||
| StopWorkspaces | Erteilt die Erlaubnis zum Beenden AutoStop WorkSpaces | Schreiben | |||
| StopWorkspacesPool | Erteilt die Erlaubnis, einen WorkSpaces Pool zu beenden | Schreiben | |||
| Stream | Gewährt die Berechtigung, durch die sich verbundene Benutzer mit ihren vorhandenen Anmeldeinformationen anmelden und ihre Workspaces streamen können | Schreiben | |||
| TerminateWorkspaces | Erteilt die Erlaubnis zum Beenden WorkSpaces | Schreiben | |||
| TerminateWorkspacesPool | Erteilt die Erlaubnis, einen WorkSpaces Pool zu beenden | Schreiben | |||
| TerminateWorkspacesPoolSession | Erteilt die Berechtigung zum Beenden einer WorkSpaces Pool-Sitzung | Schreiben | |||
| UpdateConnectClientAddIn | Gewährt die Berechtigung zum Aktualisieren eines Amazon-Connect-Client-Add-Ins. Verwenden Sie diese Aktion, um den Namen und den Endpunkt URL eines Amazon Connect Connect-Client-Add-ins zu aktualisieren | Schreiben | |||
| UpdateConnectionAliasPermission | Gewährt die Berechtigung zum Teilen oder Aufheben der Freigabe von Verbindungsaliasen mit anderen Konten | Berechtigungsverwaltung | |||
| UpdateRulesOfIpGroup | Gewährt die Berechtigung zum Austausch von Regeln für IP-Zugriffskontrollgruppen | Schreiben |
workspaces:AuthorizeIpRules workspaces:RevokeIpRules |
||
| UpdateWorkspaceBundle | Erteilt die Erlaubnis, die in WorkSpace WorkSpace Bundles verwendeten Bilder zu aktualisieren | Schreiben | |||
| UpdateWorkspaceImagePermission | Erteilt die Erlaubnis, WorkSpace Bilder mit anderen Konten zu teilen oder deren Freigabe aufzuheben, indem angegeben wird, ob andere Konten berechtigt sind, das Bild zu kopieren | Berechtigungsverwaltung | |||
| UpdateWorkspacesPool | Erteilt die Erlaubnis, den WorkSpaces Pool zu aktualisieren | Schreiben |
Von Amazon definierte Ressourcentypen WorkSpaces
Die folgenden Ressourcentypen werden von diesem Service definiert und können als Resource Element von IAM Genehmigungsrichtlinien verwendet werden. Jede Aktion in der Tabelle Aktionen identifiziert die Ressourcentypen, die mit der Aktion angegeben werden können. Ein Ressourcentyp kann auch definieren, welche Bedingungsschlüssel Sie in einer Richtlinie einschließen können. Diese Schlüssel werden in der letzten Spalte der Tabelle der Ressourcentypen angezeigt. Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Resource types.
| Ressourcentypen | ARN | Bedingungsschlüssel |
|---|---|---|
| directoryid |
arn:${Partition}:workspaces:${Region}:${Account}:directory/${DirectoryId}
|
|
| workspacebundle |
arn:${Partition}:workspaces:${Region}:${Account}:workspacebundle/${BundleId}
|
|
| workspaceid |
arn:${Partition}:workspaces:${Region}:${Account}:workspace/${WorkspaceId}
|
|
| workspaceimage |
arn:${Partition}:workspaces:${Region}:${Account}:workspaceimage/${ImageId}
|
|
| workspaceipgroup |
arn:${Partition}:workspaces:${Region}:${Account}:workspaceipgroup/${GroupId}
|
|
| workspacespoolid |
arn:${Partition}:workspaces:${Region}:${Account}:workspacespool/${PoolId}
|
|
| connectionalias |
arn:${Partition}:workspaces:${Region}:${Account}:connectionalias/${ConnectionAliasId}
|
|
| workspaceapplication |
arn:${Partition}:workspaces:${Region}:${Account}:workspaceapplication/${WorkSpaceApplicationId}
|
Zustandsschlüssel für Amazon WorkSpaces
Amazon WorkSpaces definiert die folgenden Bedingungsschlüssel, die im Condition Element einer IAM Richtlinie verwendet werden können. Diese Schlüssel können Sie verwenden, um die Bedingungen zu verfeinern, unter denen die Richtlinienanweisung angewendet wird. Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Condition keys (Bedingungsschlüssel).
Eine Liste der globalen Bedingungsschlüssel, die für alle Services verfügbar sind, finden Sie unter Verfügbare globale Bedingungsschlüssel.
| Bedingungsschlüssel | Beschreibung | Typ |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtert den Zugriff basierend auf den Tags, die in der Anfrage übergeben werden | Zeichenfolge |
| aws:ResourceTag/${TagKey} | Filtert den Zugriff basierend auf den Tags, die der Ressource zugeordnet sind. | Zeichenfolge |
| aws:TagKeys | Filtert den Zugriff basierend auf den Tag-Schlüsseln, die in der Anforderung übergeben werden. | ArrayOfString |
| workspaces:userId | Filtert den Zugriff nach ID des Workspaces-Benutzers | String |
