Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Aktionen, Ressourcen und Bedingungsschlüssel für Amazon WorkSpaces
Amazon WorkSpaces (Service-Präfix:workspaces) stellt die folgenden dienstspezifischen Ressourcen, Aktionen und Bedingungskontextschlüssel zur Verwendung in IAM-Berechtigungsrichtlinien bereit.
Referenzen:
-
Erfahren Sie, wie Sie diesen Service konfigurieren.
-
Zeigen Sie eine Liste der API-Vorgänge an, die für diesen Service verfügbar sind.
-
Erfahren Sie, wie Sie diesen Service und seine Ressourcen mithilfe von IAM-Berechtigungsrichtlinien schützen.
Themen
Von Amazon definierte Aktionen WorkSpaces
Sie können die folgenden Aktionen im Element Action einer IAM-Richtlinienanweisung angeben. Verwenden Sie Richtlinien, um Berechtigungen zum Ausführen einer Operation in AWS zu erteilen. Wenn Sie eine Aktion in einer Richtlinie verwenden, erlauben oder verweigern Sie in der Regel den Zugriff auf die API-Operation oder den CLI-Befehl mit demselben Namen. Dabei kann es mitunter vorkommen, dass eine einzige Aktion den Zugriff auf mehr als eine Operation steuert. Alternativ erfordern einige Vorgänge mehrere verschiedene Aktionen.
Die Spalte Resource types (Ressourcentypen) der Aktionstabelle gibt an, ob die Aktion Berechtigungen auf Ressourcenebene unterstützt. Wenn es keinen Wert für diese Spalte gibt, müssen Sie alle Ressourcen ("*") im Element Resource Ihrer Richtlinienanweisung angeben. Wenn die Spalte einen Ressourcentyp enthält, können Sie einen ARN dieses Typs in einer Anweisung mit dieser Aktion angeben. Wenn für die Aktion eine oder mehrere Ressourcen erforderlich sind, muss der Aufrufer die Erlaubnis haben, die Aktion mit diesen Ressourcen zu verwenden. Erforderliche Ressourcen sind in der Tabelle mit einem Sternchen (*) gekennzeichnet. Wenn Sie den Ressourcenzugriff mit dem Element Resource in einer IAM-Richtlinie einschränken, müssen Sie für jeden erforderlichen Ressourcentyp einen ARN oder ein Muster angeben. Einige Aktionen unterstützen mehrere Ressourcentypen. Wenn der Ressourcentyp optional ist (nicht als erforderlich angegeben), können Sie sich für einen der optionalen Ressourcentypen entscheiden.
Die Spalte Bedingungsschlüssel der Tabelle der Aktionen enthält Schlüssel, die Sie im Element Condition einer Richtlinienanweisung angeben können. Weitere Informationen zu den Bedingungsschlüsseln, die den Ressourcen für den Service zugeordnet sind, finden Sie in der Spalte Bedingungsschlüssel der Tabelle der Ressourcentypen.
Anmerkung
Die Ressourcenbedingungsschlüssel sind in der Tabelle Ressourcentypen enthalten. Sie finden einen Link zu dem Ressourcentyp, der für eine Aktion gilt, in der Spalte Ressourcentypen (*erforderlich) der Tabelle „Aktionen“. Der Ressourcentyp in der Tabelle „Ressourcentypen“ enthält die Spalte Bedingungsschlüssel. Das sind die Ressourcenbedingungsschlüssel, die für eine Aktion in der Tabelle „Aktionen“ gelten.
Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Aktionen
| Aktionen | Beschreibung | Zugriffsebene | Ressourcentypen (*erforderlich) | Bedingungsschlüssel | Abhängige Aktionen |
|---|---|---|---|---|---|
| AcceptAccountLinkInvitation | Erteilt die Erlaubnis, Einladungen von anderen AWS Konten anzunehmen, die dieselbe Konfiguration für WorkSpaces BYOL verwenden | Schreiben | |||
| AssociateConnectionAlias | Gewährt die Berechtigung zum Verknüpfen von Verbindungsaliasen mit Verzeichnissen | Write | |||
| AssociateIpGroups | Gewährt die Berechtigung zum Verknüpfen von IP-Zugriffskontrollgruppen mit Verzeichnissen | Schreiben | |||
| AssociateWorkspaceApplication | Erteilt die Berechtigung, eine Workspace-Anwendung einem zuzuordnen WorkSpace | Schreiben | |||
| AuthorizeIpRules | Gewährt die Berechtigung zum Hinzufügen von Regeln zu IP-Zugriffskontrollgruppen | Schreiben |
workspaces:UpdateRulesOfIpGroup |
||
| CopyWorkspaceImage | Erteilt die Erlaubnis, ein WorkSpace Bild zu kopieren | Schreiben |
workspaces:DescribeWorkspaceImages |
||
| CreateAccountLinkInvitation | Erteilt die Erlaubnis, andere AWS Konten einzuladen, dieselbe Konfiguration für WorkSpaces BYOL zu verwenden | Schreiben | |||
| CreateConnectClientAddIn | Gewährt die Berechtigung zum Erstellen eines Amazon-Connect-Client-Add-Ins in einem Verzeichnis | Schreiben | |||
| CreateConnectionAlias | Gewährt die Berechtigung zum Erstellen von Verbindungsaliasen zur Verwendung mit regionsübergreifender Umleitung | Write | |||
| CreateIpGroup | Gewährt die Berechtigung zum Erstellen von IP-Zugriffskontrollgruppen | Schreiben | |||
| CreateStandbyWorkspaces | Erteilt die Erlaubnis, einen oder mehrere Standby-Server zu erstellen WorkSpaces | Schreiben | |||
| CreateTags | Erteilt die Erlaubnis, Tags für WorkSpaces Ressourcen zu erstellen | Tagging | |||
| CreateUpdatedWorkspaceImage | Erteilt die Erlaubnis, ein aktualisiertes WorkSpace Bild zu erstellen | Schreiben | |||
| CreateWorkspaceBundle | Erteilt die Erlaubnis, ein WorkSpace Bundle zu erstellen | Schreiben |
workspaces:CreateTags |
||
| CreateWorkspaceImage | Erteilt die Erlaubnis, ein neues WorkSpace Image zu erstellen | Schreiben | |||
| CreateWorkspaces | Erteilt die Erlaubnis, eines oder mehrere zu erstellen WorkSpaces | Schreiben | |||
| DeleteAccountLinkInvitation | Erteilt die Erlaubnis, Einladungen an andere AWS Konten zu löschen, die dieselbe Konfiguration für WorkSpaces BYOL verwenden | Schreiben | |||
| DeleteClientBranding | Erteilt die Berechtigung zum Löschen von AWS WorkSpaces Client-Branding-Daten in einem Verzeichnis | Schreiben | |||
| DeleteConnectClientAddIn | Gewährt die Berechtigung zum Löschen eines Amazon-Connect-Client-Add-Ins, das in einem Verzeichnis konfiguriert ist | Schreiben | |||
| DeleteConnectionAlias | Gewährt die Berechtigung zum Löschen eines Verbindungs-Aliases | Write | |||
| DeleteIpGroup | Gewährt Berechtigung zum Löschen von IP-Zugriffskontrollgruppen | Schreiben | |||
| DeleteTags | Erteilt die Berechtigung zum Löschen von Tags aus WorkSpaces Ressourcen | Tagging | |||
| DeleteWorkspaceBundle | Erteilt die Erlaubnis zum Löschen von WorkSpace Bundles | Schreiben | |||
| DeleteWorkspaceImage | Erteilt die Erlaubnis zum Löschen von Bildern WorkSpace | Schreiben | |||
| DeployWorkspaceApplications | Erteilt die Berechtigung zur Bereitstellung aller ausstehenden Workspace-Anwendungen auf einem WorkSpace | Schreiben | |||
| DeregisterWorkspaceDirectory | Erteilt die Erlaubnis, Verzeichnisse für die Verwendung mit Amazon zu deregistrieren WorkSpaces | Schreiben | |||
| DescribeAccount | Erteilt die Erlaubnis, die Konfiguration von Bring Your Own License (BYOL) für Konten abzurufen WorkSpaces | Lesen | |||
| DescribeAccountModifications | Erteilt die Erlaubnis, Änderungen an der Konfiguration von Bring Your Own License (BYOL) für Konten abzurufen WorkSpaces | Lesen | |||
| DescribeApplicationAssociations | Erteilt die Berechtigung zum Abrufen von Informationen über Ressourcen, die einer WorkSpace Anwendung zugeordnet sind | Auflisten | |||
| DescribeApplications | Erteilt die Erlaubnis, Informationen über WorkSpace Anwendungen zu erhalten | Auflisten | |||
| DescribeBundleAssociations | Erteilt die Berechtigung zum Abrufen von Informationen über Ressourcen, die einem WorkSpace Bundle zugeordnet sind | Auflisten | |||
| DescribeClientBranding | Erteilt die Berechtigung zum Abrufen von AWS WorkSpaces Client-Branding-Daten in einem Verzeichnis | Lesen | |||
| DescribeClientProperties | Erteilt die Berechtigung zum Abrufen von Informationen über WorkSpaces Kunden | Auflisten | |||
| DescribeConnectClientAddIns | Gewährt die Berechtigung zum Abrufen einer Liste von Amazon-Connect-Client-Add-Ins, die erstellt wurden | Auflisten | |||
| DescribeConnectionAliasPermissions | Erteilt die Berechtigung zum Abrufen der Berechtigungen, die die Besitzer von Verbindungsaliasnamen anderen AWS Konten für Verbindungsaliase erteilt haben | Lesen | |||
| DescribeConnectionAliases | Gewährt die Berechtigung zum Abrufen einer Liste, die die für die regionsübergreifende Umleitung verwendeten Verbindungsaliase beschreibt | Lesen | |||
| DescribeImageAssociations | Erteilt die Berechtigung zum Abrufen von Informationen über Ressourcen, die mit einem Bild verknüpft sind WorkSpace | Auflisten | |||
| DescribeIpGroups | Gewährt die Berechtigung zum Abrufen von Informationen über IP-Zugriffskontrollgruppen | Lesen | |||
| DescribeTags | Erteilt die Erlaubnis, die Tags für WorkSpaces Ressourcen zu beschreiben | Lesen | |||
| DescribeWorkspaceAssociations | Erteilt die Berechtigung zum Abrufen von Informationen über Ressourcen, die mit einem verknüpft sind WorkSpace | Auflisten | |||
| DescribeWorkspaceBundles | Erteilt die Erlaubnis, Informationen über WorkSpace Bundles abzurufen | Auflisten | |||
| DescribeWorkspaceDirectories | Erteilt die Berechtigung zum Abrufen von Informationen über Verzeichnisse, die bei registriert sind WorkSpaces | Lesen | |||
| DescribeWorkspaceImagePermissions | Erteilt die Berechtigung zum Abrufen von Informationen über WorkSpace Bildberechtigungen | Lesen | |||
| DescribeWorkspaceImages | Erteilt die Erlaubnis zum Abrufen von Informationen über WorkSpace Bilder | Auflisten | |||
| DescribeWorkspaceSnapshots | Erteilt die Berechtigung zum Abrufen von Informationen über WorkSpace Schnappschüsse | Auflisten | |||
| DescribeWorkspaces | Erteilt die Erlaubnis zum Abrufen von Informationen über WorkSpaces | Auflisten | |||
| DescribeWorkspacesConnectionStatus | Erteilt die Berechtigung zum Abrufen des Verbindungsstatus von WorkSpaces | Lesen | |||
| DisassociateConnectionAlias | Gewährt die Berechtigung zum Trennen von Verbindungsaliasen von Verzeichnissen | Write | |||
| DisassociateIpGroups | Gewährt die Berechtigung zum Trennen von IP-Zugriffskontrollgruppen von Verzeichnissen | Schreiben | |||
| DisassociateWorkspaceApplication | Erteilt die Berechtigung, die Zuordnung einer Workspace-Anwendung zu einem zu trennen WorkSpace | Schreiben | |||
| GetAccountLink | Erteilt die Berechtigung zum Abrufen eines Links mit einem anderen AWS Konto zur gemeinsamen Nutzung der Konfiguration für BYOL WorkSpaces | Lesen | |||
| ImportClientBranding | Erteilt die Erlaubnis, AWS WorkSpaces Client-Branding-Daten in ein Verzeichnis zu importieren | Schreiben | |||
| ImportWorkspaceImage | Erteilt die Erlaubnis, Bring Your Own License (BYOL) -Bilder in Amazon zu importieren WorkSpaces | Schreiben |
ec2:DescribeImages ec2:ModifyImageAttribute |
||
| ListAccountLinks | Erteilt die Genehmigung zum Abrufen von Links zu den AWS Konten, die Ihre Konfiguration für WorkSpaces BYOL gemeinsam haben | Auflisten | |||
| ListAvailableManagementCidrRanges | Erteilt die Erlaubnis, die verfügbaren CIDR-Bereiche aufzulisten, um Bring Your Own License (BYOL) für Konten zu aktivieren WorkSpaces | Auflisten | |||
| MigrateWorkspace | Erteilt die Erlaubnis zur Migration WorkSpaces | Schreiben | |||
| ModifyAccount | Erteilt die Erlaubnis, die Konfiguration von Bring Your Own License (BYOL) für WorkSpaces Konten zu ändern | Schreiben | |||
| ModifyCertificateBasedAuthProperties | Gewährt die Berechtigung zum Ändern der zertifikatsbasierten Autorisierungseigenschaften eines Verzeichnisses | Schreiben | |||
| ModifyClientProperties | Erteilt die Erlaubnis, die Eigenschaften von WorkSpaces Clients zu ändern | Schreiben | |||
| ModifySamlProperties | Gewährt die Berechtigung zum Ändern der SAML-Eigenschaften eines Directorys | Schreiben | |||
| ModifySelfservicePermissions | Erteilt die Berechtigung, die WorkSpace Self-Service-Verwaltungsfunktionen für Ihre Benutzer zu ändern | Berechtigungsverwaltung | |||
| ModifyWorkspaceAccessProperties | Erteilt die Berechtigung, anzugeben, mit welchen Geräten und Betriebssystemen Benutzer auf ihre WorkSpaces | Schreiben | |||
| ModifyWorkspaceCreationProperties | Erteilt die Berechtigung zum Ändern der Standardeigenschaften, die zum Erstellen verwendet wurden WorkSpaces | Schreiben | |||
| ModifyWorkspaceProperties | Erteilt die Berechtigung zum Ändern von WorkSpace Eigenschaften, einschließlich des Ausführungsmodus und des AutoStop Zeitraums | Schreiben | |||
| ModifyWorkspaceState | Erteilt die Erlaubnis, den Status von zu ändern WorkSpaces | Schreiben | |||
| RebootWorkspaces | Erteilt die Erlaubnis zum Neustart WorkSpaces | Schreiben | |||
| RebuildWorkspaces | Erteilt die Erlaubnis zum Neuaufbau WorkSpaces | Schreiben | |||
| RegisterWorkspaceDirectory | Erteilt die Erlaubnis, Verzeichnisse zur Verwendung bei Amazon zu registrieren WorkSpaces | Schreiben | |||
| RejectAccountLinkInvitation | Erteilt die Erlaubnis, Einladungen von anderen AWS Konten abzulehnen, die dieselbe Konfiguration für WorkSpaces BYOL verwenden | Schreiben | |||
| RestoreWorkspace | Erteilt die Erlaubnis zur Wiederherstellung WorkSpaces | Schreiben | |||
| RevokeIpRules | Gewährt die Berechtigung zum Entfernen von Regeln aus IP-Zugriffskontrollgruppen | Schreiben |
workspaces:UpdateRulesOfIpGroup |
||
| StartWorkspaces | Erteilt die Erlaubnis zum Starten AutoStop WorkSpaces | Schreiben | |||
| StopWorkspaces | Erteilt die Erlaubnis zum Beenden AutoStop WorkSpaces | Schreiben | |||
| Stream | Gewährt die Berechtigung, durch die sich verbundene Benutzer mit ihren vorhandenen Anmeldeinformationen anmelden und ihre Workspaces streamen können | Schreiben | |||
| TerminateWorkspaces | Erteilt die Erlaubnis zum Beenden WorkSpaces | Schreiben | |||
| UpdateConnectClientAddIn | Gewährt die Berechtigung zum Aktualisieren eines Amazon-Connect-Client-Add-Ins. Verwenden Sie diese Aktion, um den Namen und die Endpunkt-URL eines Amazon-Connect-Client-Add-Ins zu aktualisieren. | Schreiben | |||
| UpdateConnectionAliasPermission | Gewährt die Berechtigung zum Teilen oder Aufheben der Freigabe von Verbindungsaliasen mit anderen Konten | Berechtigungsverwaltung | |||
| UpdateRulesOfIpGroup | Gewährt die Berechtigung zum Austausch von Regeln für IP-Zugriffskontrollgruppen | Schreiben |
workspaces:AuthorizeIpRules workspaces:RevokeIpRules |
||
| UpdateWorkspaceBundle | Erteilt die Erlaubnis, die in WorkSpace WorkSpace Bundles verwendeten Bilder zu aktualisieren | Schreiben | |||
| UpdateWorkspaceImagePermission | Erteilt die Erlaubnis, WorkSpace Bilder mit anderen Konten zu teilen oder deren Freigabe aufzuheben, indem angegeben wird, ob andere Konten berechtigt sind, das Bild zu kopieren | Berechtigungsverwaltung |
Von Amazon definierte Ressourcentypen WorkSpaces
Die folgenden Ressourcentypen werden von diesem Service definiert und können im Element Resource von IAM-Berechtigungsrichtlinienanweisungen verwendet werden. Jede Aktion in der Tabelle „Aktionen“ identifiziert die Ressourcentypen, die mit der Aktion angegeben werden können. Ein Ressourcentyp kann auch definieren, welche Bedingungsschlüssel Sie in einer Richtlinie einschließen können. Diese Schlüssel werden in der letzten Spalte der Tabelle der Ressourcentypen angezeigt. Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Resource types.
| Ressourcentypen | ARN | Bedingungsschlüssel |
|---|---|---|
| directoryid |
arn:${Partition}:workspaces:${Region}:${Account}:directory/${DirectoryId}
|
|
| workspacebundle |
arn:${Partition}:workspaces:${Region}:${Account}:workspacebundle/${BundleId}
|
|
| workspaceid |
arn:${Partition}:workspaces:${Region}:${Account}:workspace/${WorkspaceId}
|
|
| workspaceimage |
arn:${Partition}:workspaces:${Region}:${Account}:workspaceimage/${ImageId}
|
|
| workspaceipgroup |
arn:${Partition}:workspaces:${Region}:${Account}:workspaceipgroup/${GroupId}
|
|
| connectionalias |
arn:${Partition}:workspaces:${Region}:${Account}:connectionalias/${ConnectionAliasId}
|
|
| workspaceapplication |
arn:${Partition}:workspaces:${Region}:${Account}:workspaceapplication/${WorkSpaceApplicationId}
|
Zustandsschlüssel für Amazon WorkSpaces
Amazon WorkSpaces definiert die folgenden Bedingungsschlüssel, die im Condition Element einer IAM-Richtlinie verwendet werden können. Diese Schlüssel können Sie verwenden, um die Bedingungen zu verfeinern, unter denen die Richtlinienanweisung angewendet wird. Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Bedingungsschlüssel.
Eine Liste der globalen Bedingungsschlüssel, die für alle Services verfügbar sind, finden Sie unter Verfügbare globale Bedingungsschlüssel.
| Bedingungsschlüssel | Beschreibung | Typ |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtert den Zugriff basierend auf den Tags, die in der Anfrage übergeben werden | Zeichenfolge |
| aws:ResourceTag/${TagKey} | Filtert den Zugriff basierend auf den Tags, die der Ressource zugeordnet sind. | Zeichenfolge |
| aws:TagKeys | Filtert den Zugriff basierend auf den Tag-Schlüsseln, die in der Anforderung übergeben werden. | ArrayOfString |
| workspaces:userId | Filtert den Zugriff nach ID des Workspaces-Benutzers | String |
