Mit dem Dienst verknüpfte Rollenberechtigungen für Secure Browser WorkSpaces Eine dienstbezogene Rolle für WorkSpaces Secure Browser erstellen Eine dienstverknüpfte Rolle für WorkSpaces Secure Browser bearbeiten Löschen einer dienstverknüpften Rolle für Secure Browser WorkSpaces Unterstützte Regionen für dienstverknüpfte WorkSpaces Secure Browser-Rollen

Verwenden von dienstverknüpften Rollen für WorkSpaces Secure Browser

Amazon WorkSpaces Secure Browser verwendet AWS Identity and Access Management (IAM) serviceverknüpfte Rollen. Eine serviceverknüpfte Rolle ist eine einzigartige Art von IAM-Rolle, die direkt mit Secure Browser verknüpft ist. WorkSpaces Dienstbezogene Rollen sind von WorkSpaces Secure Browser vordefiniert und beinhalten alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.

Eine dienstverknüpfte Rolle erleichtert die Einrichtung von WorkSpaces Secure Browser, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. WorkSpaces Secure Browser definiert die Berechtigungen seiner dienstbezogenen Rollen, und sofern nicht anders definiert, kann nur WorkSpaces Secure Browser seine Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinien. Die Berechtigungsrichtlinie kann mit keiner anderen IAM-Entität verknüpft werden.

Sie können eine serviceverknüpfte Rolle erst löschen, nachdem die zugehörigen Ressourcen gelöscht wurden. Dadurch werden Ihre WorkSpaces Secure Browser-Ressourcen geschützt, da Sie die Zugriffsberechtigung für die Ressourcen nicht versehentlich entfernen können.

Informationen zu anderen Services, die serviceverknüpften Rollen unterstützen, finden Sie unter AWS -Services, die mit IAM funktionieren. Suchen Sie nach den Services, für die Ja in der Spalte Serviceverknüpfte Rolle angegeben ist. Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.

Mit dem Dienst verknüpfte Rollenberechtigungen für Secure Browser WorkSpaces

WorkSpaces Secure Browser verwendet die serviceverknüpfte Rolle mit dem Namen AWSServiceRoleForAmazonWorkSpacesWeb — WorkSpaces Secure Browser verwendet diese serviceverknüpfte Rolle, um auf Amazon EC2 EC2-Ressourcen von Kundenkonten für Streaming-Instances und Metriken zuzugreifen. CloudWatch

Die serviceverknüpfte Rolle AWSServiceRoleForAmazonWorkSpacesWeb vertraut darauf, dass die folgenden Services die Rolle annehmen:

workspaces-web.amazonaws.com

Die genannte Richtlinie für Rollenberechtigungen AmazonWorkSpacesWebServiceRolePolicy ermöglicht es WorkSpaces Secure Browser, die folgenden Aktionen an den angegebenen Ressourcen durchzuführen. Weitere Informationen finden Sie unter AWS verwaltete Richtlinie: AmazonWorkSpacesWebServiceRolePolicy.

Aktion: ec2:DescribeVpcs für all AWS resources
Aktion: ec2:DescribeSubnets für all AWS resources
Aktion: ec2:DescribeAvailabilityZones für all AWS resources
Aktion: ec2:CreateNetworkInterface mit aws:RequestTag/WorkSpacesWebManaged: true in Subnetz- und Sicherheitsgruppenressourcen
Aktion: ec2:DescribeNetworkInterfaces für all AWS resources
Aktion: ec2:DeleteNetworkInterface in Netzwerkschnittstellen mit aws:ResourceTag/WorkSpacesWebManaged: true
Aktion: ec2:DescribeSubnets für all AWS resources
Aktion: ec2:AssociateAddress für all AWS resources
Aktion: ec2:DisassociateAddress für all AWS resources
Aktion: ec2:DescribeRouteTables für all AWS resources
Aktion: ec2:DescribeSecurityGroups für all AWS resources
Aktion: ec2:DescribeVpcEndpoints für all AWS resources
Aktion: ec2:CreateTags in ec2:CreateNetworkInterface-Betrieb mit aws:TagKeys: ["WorkSpacesWebManaged"]
Aktion: cloudwatch:PutMetricData für all AWS resources
Aktion: kinesis:PutRecord in Kinesis-Datenströmen mit Namen, die mit amazon-workspaces-web- beginnen
Aktion: kinesis:PutRecords in Kinesis-Datenströmen mit Namen, die mit amazon-workspaces-web- beginnen
Aktion: kinesis:DescribeStreamSummary in Kinesis-Datenströmen mit Namen, die mit amazon-workspaces-web- beginnen

Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter serviceverknüpfte Rollenberechtigungen im IAM-Benutzerhandbuch.

Eine dienstbezogene Rolle für WorkSpaces Secure Browser erstellen

Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie Ihr erstes Portal in der AWS Management Console, der oder der AWS API erstellen AWS CLI, erstellt WorkSpaces Secure Browser die serviceverknüpfte Rolle für Sie.

Wichtig

Diese serviceverknüpfte Rolle kann in Ihrem Konto erscheinen, wenn Sie eine Aktion in einem anderen Service abgeschlossen haben, der die von dieser Rolle unterstützten Features verwendet.

Wenn Sie diese serviceverknüpfte Rolle löschen und später erneut erstellen müssen, können Sie die Rolle in Ihrem Konto auf dieselbe Weise neu erstellen. Wenn Sie Ihr erstes Portal erstellen, erstellt WorkSpaces Secure Browser die serviceverknüpfte Rolle erneut für Sie.

Sie können die IAM-Konsole auch verwenden, um eine serviceverknüpfte Rolle mit dem Anwendungsfall WorkSpaces Secure Browser zu erstellen. Erstellen Sie in der AWS CLI oder der AWS API eine dienstverknüpfte Rolle mit dem workspaces-web.amazonaws.com Dienstnamen. Weitere Informationen finden Sie unter Erstellen einer serviceverknüpfte Rolle im IAM-Leitfaden. Wenn Sie diese serviceverknüpfte Rolle löschen, können Sie mit demselben Verfahren die Rolle erneut erstellen.

Eine dienstverknüpfte Rolle für WorkSpaces Secure Browser bearbeiten

WorkSpaces Der sichere Browser erlaubt es Ihnen nicht, die AWSServiceRoleForAmazonWorkSpacesWeb dienstverknüpfte Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach der Erstellung einer serviceverknüpften Rolle nicht bearbeitet werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter Bearbeiten einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.

Löschen einer dienstverknüpften Rolle für Secure Browser WorkSpaces

Wenn Sie ein Feature oder einen Dienst, die bzw. der eine serviceverknüpften Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpften Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.

Anmerkung

Wenn der WorkSpaces Secure Browser-Dienst die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.

Um WorkSpaces Secure Browser-Ressourcen zu löschen, die von AWSServiceRoleForAmazonWorkSpacesWeb

Wählen Sie eine der folgenden Optionen aus:
- Wenn Sie die Konsole verwenden, löschen Sie alle Ihre Portale auf der Konsole.
- Wenn Sie die CLI oder API verwenden, trennen Sie alle Ihre Ressourcen (einschließlich Browsereinstellungen, Netzwerkeinstellungen, Benutzereinstellungen, Trust Stores und Einstellungen für die Benutzerzugriffsprotokollierung) aus Ihren Portalen. Löschen Sie diese Ressourcen und löschen Sie dann die Portale.

So löschen Sie die serviceverknüpfte Rolle mit IAM

Verwenden Sie die IAM-Konsole, die oder die AWS API AWS CLI, um die AWSServiceRoleForAmazonWorkSpacesWeb serviceverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter Löschen einer serviceverknüpften Rolle im IAM-Leitfaden.

Unterstützte Regionen für dienstverknüpfte WorkSpaces Secure Browser-Rollen

WorkSpaces Secure Browser unterstützt die Verwendung von dienstbezogenen Rollen in allen Regionen, in denen der Dienst verfügbar ist. Weitere Informationen finden Sie unter AWS Regionen und Endpunkte.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Fehlerbehebung

Vorfallreaktion