Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Identitäts- und Zugriffsmanagement für WorkSpaces
Standardmäßig haben IAM-Benutzer keine Berechtigungen für WorkSpaces Ressourcen und Operationen. Damit IAM-Benutzer WorkSpaces Ressourcen verwalten können, müssen Sie eine IAM-Richtlinie erstellen, die ihnen ausdrücklich Berechtigungen gewährt, und die Richtlinie den IAM-Benutzern oder -Gruppen zuordnen, die diese Berechtigungen benötigen.
**Anmerkung**
Amazon unterstützt WorkSpaces nicht die Bereitstellung von IAM-Anmeldeinformationen in einem WorkSpace (z. B. mit einem Instance-Profil).
Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:
+ Benutzer und Gruppen in: AWS IAM Identity Center
Erstellen Sie einen Berechtigungssatz. Befolgen Sie die Anweisungen unter [Erstellen eines Berechtigungssatzes](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) im *AWS IAM Identity Center -Benutzerhandbuch*.
+ Benutzer, die in IAM über einen Identitätsanbieter verwaltet werden:
Erstellen Sie eine Rolle für den Identitätsverbund. Befolgen Sie die Anleitung unter [Eine Rolle für einen externen Identitätsanbieter (Verbund) erstellen](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) im *IAM-Benutzerhandbuch*.
+ IAM-Benutzer:
+ Erstellen Sie eine Rolle, die Ihr Benutzer annehmen kann. Befolgen Sie die Anleitung unter [Eine Rolle für einen IAM-Benutzer erstellen](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) im *IAM-Benutzerhandbuch*.
+ (Nicht empfohlen) Weisen Sie einem Benutzer eine Richtlinie direkt zu oder fügen Sie einen Benutzer zu einer Benutzergruppe hinzu. Befolgen Sie die Anweisungen unter [Hinzufügen von Berechtigungen zu einem Benutzer (Konsole)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) im *IAM-Benutzerhandbuch*.
Im Folgenden finden Sie zusätzliche Ressourcen für IAM:
+ Weitere allgemeine Informationen zu IAM-Richtlinien finden Sie unter [Berechtigungen und Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ Weitere Informationen über IAM finden Sie unter [Identity and Access Management (IAM)](https://aws.amazon.com/iam) und im [https://docs.aws.amazon.com/IAM/latest/UserGuide/](https://docs.aws.amazon.com/IAM/latest/UserGuide/).
+ Weitere Informationen zu WorkSpaces spezifischen Ressourcen, Aktionen und Bedingungskontextschlüsseln zur Verwendung in IAM-Berechtigungsrichtlinien finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für Amazon WorkSpaces](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonworkspaces.html) im *IAM-Benutzerhandbuch*.
+ Ein Tool, mit dem Sie IAM-Richtlinien erstellen können, finden Sie im [AWS Policy Generator](https://aws.amazon.com/blogs/aws/aws-policy-generator/). Sie können außerdem den [IAM-Richtliniensimulator](https://docs.aws.amazon.com/IAM/latest/UsingPolicySimulatorGuide/) verwenden, um zu testen, ob eine Richtlinie eine bestimmte Anforderung an AWS zulässt oder verweigert.
**Topics**
+ [Beispielrichtlinien](#workspaces-example-iam-policies)
+ [Geben Sie WorkSpaces Ressourcen in einer IAM-Richtlinie an](#wsp_iam_resource)
+ [Erstellen Sie die Rolle workspaces\$1 DefaultRole](#create-default-role)
+ [Erstellen Sie die Servicerolle AmazonWorkSpaces PCAAccess](#create-pca-access-role)
+ [AWS verwaltete Richtlinien für WorkSpaces](managed-policies.md)
+ [Zugriff auf WorkSpaces und Skripte auf Streaming-Instances](using-iam-roles-to-grant-permissions-to-applications-scripts-streaming-instances.md)
+ [Referenz zu Betriebsberechtigungen für Amazon WorkSpaces Console](wsp-console-permissions-ref.md)
## Beispielrichtlinien
Die folgenden Beispiele zeigen Richtlinienerklärungen, mit denen Sie die Berechtigungen kontrollieren können, die IAM-Benutzer für Amazon WorkSpaces haben.
### Beispiel 1: Zugriff gewähren, um WorkSpaces persönliche Aufgaben und Pool-Aufgaben auszuführen
Die folgende Richtlinienerklärung gewährt einem IAM-Benutzer die Erlaubnis, WorkSpaces persönliche Aufgaben und Pool-Aufgaben auszuführen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:*",
"workspaces:*",
"application-autoscaling:DeleteScalingPolicy",
"application-autoscaling:DeleteScheduledAction",
"application-autoscaling:DeregisterScalableTarget",
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"application-autoscaling:PutScalingPolicy",
"application-autoscaling:PutScheduledAction",
"application-autoscaling:RegisterScalableTarget",
"cloudwatch:DeleteAlarms",
"cloudwatch:DescribeAlarms",
"cloudwatch:PutMetricAlarm",
"ec2:AssociateRouteTable",
"ec2:AttachInternetGateway",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateInternetGateway",
"ec2:CreateNetworkInterface",
"ec2:CreateRoute",
"ec2:CreateRouteTable",
"ec2:CreateSecurityGroup",
"ec2:CreateSubnet",
"ec2:CreateTags",
"ec2:CreateVpc",
"ec2:DeleteNetworkInterface",
"ec2:DeleteSecurityGroup",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeInternetGateways",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"iam:AttachRolePolicy",
"iam:CreatePolicy",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:PutRolePolicy",
"kms:ListAliases",
"kms:ListKeys",
"secretsmanager:ListSecrets",
"tag:GetResources",
"sso-directory:SearchUsers",
"sso:CreateApplication",
"sso:DeleteApplication",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:GetApplicationGrant",
"sso:ListInstances",
"sso:PutApplicationAssignmentConfiguration",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "workspaces.amazonaws.com"
}
}
}
]
}
```
------
### Beispiel 2: Gewähren Sie Zugriff zur Ausführung WorkSpaces persönlicher Aufgaben
Die folgende Richtlinienerklärung gewährt einem IAM-Benutzer die Erlaubnis, alle WorkSpaces persönlichen Aufgaben auszuführen.
Obwohl Amazon die `Resource` Elemente `Action` und bei der Verwendung der API und der Befehlszeilentools WorkSpaces vollständig unterstützt, muss ein IAM-Benutzer über Berechtigungen für die folgenden Aktionen und Ressourcen verfügen AWS-Managementkonsole, um Amazon WorkSpaces von der aus verwenden zu können:
+ Aktionen: `"ds:*"`
+ Ressourcen: `"Resource": "*"`
Die folgende Beispielrichtlinie zeigt, wie Sie es einem IAM-Benutzer ermöglichen, Amazon WorkSpaces von der AWS-Managementkonsole aus zu verwenden.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"workspaces:*",
"ds:*",
"iam:GetRole",
"iam:CreateRole",
"iam:PutRolePolicy",
"iam:CreatePolicy",
"iam:AttachRolePolicy",
"iam:ListRoles",
"kms:ListAliases",
"kms:ListKeys",
"ec2:CreateVpc",
"ec2:CreateSubnet",
"ec2:CreateNetworkInterface",
"ec2:CreateInternetGateway",
"ec2:CreateRouteTable",
"ec2:CreateRoute",
"ec2:CreateTags",
"ec2:CreateSecurityGroup",
"ec2:DescribeInternetGateways",
"ec2:DescribeSecurityGroups",
"ec2:DescribeRouteTables",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeAvailabilityZones",
"ec2:AttachInternetGateway",
"ec2:AssociateRouteTable",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:DeleteSecurityGroup",
"ec2:DeleteNetworkInterface",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"secretsmanager:ListSecrets",
"sso-directory:SearchUsers",
"sso:CreateApplication",
"sso:DeleteApplication",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:GetApplicationGrant",
"sso:ListInstances",
"sso:PutApplicationAssignmentConfiguration",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "workspaces.amazonaws.com"
}
}
}
]
}
```
------
### Beispiel 3: Zugriff gewähren, um WorkSpaces Pools-Aufgaben auszuführen
Die folgende Richtlinienanweisung gewährt einem IAM-Benutzer die Berechtigung, alle WorkSpaces Pools-Aufgaben auszuführen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"workspaces:*",
"application-autoscaling:DeleteScalingPolicy",
"application-autoscaling:DeleteScheduledAction",
"application-autoscaling:DeregisterScalableTarget",
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"application-autoscaling:PutScalingPolicy",
"application-autoscaling:PutScheduledAction",
"application-autoscaling:RegisterScalableTarget",
"cloudwatch:DeleteAlarms",
"cloudwatch:DescribeAlarms",
"cloudwatch:PutMetricAlarm",
"ec2:CreateSecurityGroup",
"ec2:CreateTags",
"ec2:DescribeInternetGateways",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"iam:AttachRolePolicy",
"iam:CreatePolicy",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:PutRolePolicy",
"secretsmanager:ListSecrets",
"tag:GetResources"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "workspaces.amazonaws.com"
}
}
},
{
"Action": "iam:CreateServiceLinkedRole",
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/aws-service-role/workspaces.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_WorkSpacesPool",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "workspaces.application-autoscaling.amazonaws.com"
}
}
}
]
}
```
------
### Beispiel 4: Führen Sie alle WorkSpaces Aufgaben für BYOL aus WorkSpaces
Die folgende Grundsatzerklärung gewährt einem IAM-Benutzer die Erlaubnis, alle WorkSpaces Aufgaben auszuführen, einschließlich der Amazon EC2 EC2-Aufgaben, die für die Erstellung von Bring Your Own License (BYOL) erforderlich sind. WorkSpaces
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:*",
"workspaces:*",
"ec2:AssociateRouteTable",
"ec2:AttachInternetGateway",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateInternetGateway",
"ec2:CreateNetworkInterface",
"ec2:CreateRoute",
"ec2:CreateRouteTable",
"ec2:CreateSecurityGroup",
"ec2:CreateSubnet",
"ec2:CreateTags",
"ec2:CreateVpc",
"ec2:DeleteNetworkInterface",
"ec2:DeleteSecurityGroup",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeImages",
"ec2:DescribeInternetGateways",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:ModifyImageAttribute",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"iam:CreateRole",
"iam:GetRole",
"iam:PutRolePolicy",
"kms:ListAliases",
"kms:ListKeys"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "workspaces.amazonaws.com"
}
}
}
]
}
```
------
## Geben Sie WorkSpaces Ressourcen in einer IAM-Richtlinie an
Um eine WorkSpaces Ressource im `Resource` Element der Richtlinienerklärung anzugeben, verwenden Sie den Amazon-Ressourcennamen (ARN) der Ressource. Sie kontrollieren den Zugriff auf Ihre WorkSpaces Ressourcen, indem Sie die Berechtigungen zur Nutzung der API-Aktionen, die im `Action` Element Ihrer IAM-Richtlinienerklärung angegeben sind, entweder zulassen oder verweigern. WorkSpaces definiert ARNs für WorkSpaces, Bundles, IP-Gruppen und Verzeichnisse.
### WorkSpace ARN
Ein WorkSpace ARN hat die im folgenden Beispiel gezeigte Syntax.
```
arn:aws:workspaces:region:account_id:workspace/workspace_identifier
```
*Region*
Die Region, in der WorkSpace sich der befindet (z. B.`us-east-1`).
*account\$1id*
Die ID des AWS Kontos ohne Bindestriche (z. B.`123456789012`).
*workspace\$1identifier*
Die ID des WorkSpace (zum Beispiel). `ws-a1bcd2efg`
Im Folgenden finden Sie das Format des `Resource` Elements einer Grundsatzerklärung, das ein bestimmtes Element identifiziert WorkSpace.
```
"Resource": "arn:aws:workspaces:region:account_id:workspace/workspace_identifier"
```
Sie können den `*` Platzhalter verwenden, um alle Daten anzugeben WorkSpaces , die zu einem bestimmten Konto in einer bestimmten Region gehören.
### WorkSpace Pool-ARN
Ein WorkSpace Pool-ARN hat die im folgenden Beispiel gezeigte Syntax.
```
arn:aws:workspaces:region:account_id:workspacespool/workspacespool_identifier
```
*Region*
Die Region, in der WorkSpace sich der befindet (z. B.`us-east-1`).
*account\$1id*
Die ID des AWS Kontos ohne Bindestriche (z. B.`123456789012`).
*workspacespool\$1identifier*
Die ID des WorkSpace Pools (zum Beispiel). `ws-a1bcd2efg`
Im Folgenden finden Sie das Format des `Resource` Elements einer Richtlinienerklärung, das ein bestimmtes Element identifiziert WorkSpace.
```
"Resource": "arn:aws:workspaces:region:account_id:workspacespool/workspacespool_identifier"
```
Sie können den `*` Platzhalter verwenden, um alle Daten anzugeben WorkSpaces , die zu einem bestimmten Konto in einer bestimmten Region gehören.
### Zertifikat ARN
Ein WorkSpace Zertifikat-ARN hat die im folgenden Beispiel gezeigte Syntax.
```
arn:aws:workspaces:region:account_id:workspacecertificate/workspacecertificateidentifier
```
*Region*
Die Region, in der WorkSpace sich der befindet (z. B.`us-east-1`).
*account\$1id*
Die ID des AWS Kontos ohne Bindestriche (z. B.`123456789012`).
*workspacecertificate\$1identifier*
Die ID des Zertifikats (z. B.). WorkSpace `ws-a1bcd2efg`
Das folgende Format hat das `Resource` Element einer Richtlinienerklärung, das ein bestimmtes WorkSpace Zertifikat identifiziert.
```
"Resource": "arn:aws:workspaces:region:account_id:workspacecertificate/workspacecertificate_identifier"
```
Sie können den `*` Platzhalter verwenden, um alle Daten anzugeben WorkSpaces , die zu einem bestimmten Konto in einer bestimmten Region gehören.
### Abbild-ARN
Ein WorkSpace Bild-ARN hat die im folgenden Beispiel gezeigte Syntax.
```
arn:aws:workspaces:region:account_id:workspaceimage/image_identifier
```
*Region*
Die Region, in der sich das WorkSpace Bild befindet (z. B.`us-east-1`).
*account\$1id*
Die ID des AWS Kontos ohne Bindestriche (z. B.`123456789012`).
*bundle\$1identifier*
Die ID des WorkSpace Bildes (zum Beispiel). `wsi-a1bcd2efg`
Das `Resource`-Element einer Richtlinienanweisung, das ein spezifisches Paket identifiziert, weist das folgende Format auf.
```
"Resource": "arn:aws:workspaces:region:account_id:workspaceimage/image_identifier"
```
Sie können den Platzhalter `*` verwenden, um alle WorkSpaces-Abbilder anzugeben, die zu einem bestimmten Konto in einer bestimmten Region gehören.
### Bundle-ARN
Ein Bundle-ARN besitzt die im folgenden Beispiel gezeigte Syntax.
```
arn:aws:workspaces:region:account_id:workspacebundle/bundle_identifier
```
*Region*
Die Region, in der WorkSpace sich der befindet (z. B.`us-east-1`).
*account\$1id*
Die ID des AWS Kontos ohne Bindestriche (z. B.`123456789012`).
*bundle\$1identifier*
Die ID des WorkSpace Bundles (zum Beispiel). `wsb-a1bcd2efg`
Das `Resource`-Element einer Richtlinie, das ein spezifisches Bundle identifiziert, weist das folgende Format auf.
```
"Resource": "arn:aws:workspaces:region:account_id:workspacebundle/bundle_identifier"
```
Sie können den Platzhalter `*` verwenden, um alle Pakete anzugeben, die zu einem bestimmten Konto in einer bestimmten Region gehören.
### ARN der IP-Gruppe
Ein IP-Gruppen-ARN besitzt die im folgenden Beispiel gezeigte Syntax.
```
arn:aws:workspaces:region:account_id:workspaceipgroup/ipgroup_identifier
```
*Region*
Die Region, in der WorkSpace sich der befindet (z. B.`us-east-1`).
*account\$1id*
Die ID des AWS Kontos ohne Bindestriche (z. B.`123456789012`).
*ipgroup\$1identifier*
Die ID der IP-Gruppe (z. B. `wsipg-a1bcd2efg`).
Das `Resource`-Element einer Richtlinie, das eine bestimmte IP-Gruppe identifiziert, weist das folgende Format auf.
```
"Resource": "arn:aws:workspaces:region:account_id:workspaceipgroup/ipgroup_identifier"
```
Sie können den Platzhalter `*` verwenden, um alle IP-Gruppen anzugeben, die zu einem bestimmten Konto in einer bestimmten Region gehören.
### Verzeichnis-ARN
Ein Verzeichnis ARN besitzt die im folgenden Beispiel gezeigte Syntax.
```
arn:aws:workspaces:region:account_id:directory/directory_identifier
```
*Region*
Die Region, in der WorkSpace sich der befindet (z. B.`us-east-1`).
*account\$1id*
Die ID des AWS Kontos ohne Bindestriche (z. B.`123456789012`).
*directory\$1identifier*
Die ID des Verzeichnisses (z. B. `d-12345a67b8`).
Das `Resource`-Element einer Richtlinie, das eine bestimmte Richtlinienanweisung identifiziert, weist das folgende Format auf.
```
"Resource": "arn:aws:workspaces:region:account_id:directory/directory_identifier"
```
Sie können den Platzhalter `*` verwenden, um alle Verzeichnisse anzugeben, die zu einem bestimmten Konto in einer bestimmten Region gehören.
### Verbindungsalias-ARN
Ein Verbindungsalias-ARN besitzt die im folgenden Beispiel gezeigte Syntax.
```
arn:aws:workspaces:region:account_id:connectionalias/connectionalias_identifier
```
*Region*
Die Region, in der sich der Verbindungsalias befindet (z. B. `us-east-1`).
*account\$1id*
Die ID des AWS Kontos ohne Bindestriche (z. B.). `123456789012`
*connectionalias\$1identifier*
Die ID des Verbindungsalias (z. B. `wsca-12345a67b8`).
Das `Resource`-Element einer Richtlinienanweisung, das einen bestimmten Verbindungsalias angibt, weist das folgende Format auf.
```
"Resource": "arn:aws:workspaces:region:account_id:connectionalias/connectionalias_identifier"
```
Sie können den Platzhalter `*` verwenden, um alle Verbindungsaliase anzugeben, die zu einem bestimmten Konto in einer bestimmten Region gehören.
### API-Aktionen ohne Unterstützung für Berechtigungen auf Ressourcenebene
Mit den folgenden API-Aktionen können Sie keinen Ressourcen-ARN angeben:
+ `AssociateIpGroups`
+ `CreateIpGroup`
+ `CreateTags`
+ `DeleteTags`
+ `DeleteWorkspaceImage`
+ `DescribeAccount`
+ `DescribeAccountModifications`
+ `DescribeIpGroups`
+ `DescribeTags`
+ `DescribeWorkspaceDirectories`
+ `DescribeWorkspaceImages`
+ `DescribeWorkspaces`
+ `DescribeWorkspacesConnectionStatus`
+ `DisassociateIpGroups`
+ `ImportWorkspaceImage`
+ `ListAvailableManagementCidrRanges`
+ `ModifyAccount`
Bei API-Aktionen, die Berechtigungen auf Ressourcenebene nicht unterstützen, müssen Sie die Ressourcenanweisung wie im folgenden Beispiel dargestellt angeben.
```
"Resource": "*"
```
### API-Aktionen, die Einschränkungen auf Kontoebene für gemeinsam genutzte Ressourcen nicht unterstützen
Für die folgenden API-Aktionen können Sie im Ressourcen-ARN keine Konto-ID angeben, wenn die Ressource nicht dem Konto gehört:
+ `AssociateConnectionAlias`
+ `CopyWorkspaceImage`
+ `DisassociateConnectionAlias`
Für diese API-Aktionen können Sie nur dann eine Konto-ID im Ressourcen-ARN angeben, wenn dieses Konto die Ressourcen besitzt, die verwendet werden sollen. Wenn das Konto nicht Besitzer der Ressourcen ist, müssen Sie, wie im folgenden Beispiel veranschaulicht, für das Konto den Wert `*` angeben.
```
"arn:aws:workspaces:region:*:resource_type/resource_identifier"
```
## Erstellen Sie die Rolle workspaces\$1 DefaultRole
Bevor Sie ein Verzeichnis mithilfe der API registrieren können, müssen Sie überprüfen, ob eine Rolle mit dem Namen `workspaces_DefaultRole` existiert. Diese Rolle wird durch das Quick Setup oder wenn Sie eine WorkSpace mit dem starten AWS-Managementkonsole, erstellt und gewährt Amazon die WorkSpaces Erlaubnis, in Ihrem Namen auf bestimmte AWS Ressourcen zuzugreifen. Wenn diese Rolle nicht existiert, können Sie sie auf folgende Weise erstellen.
**Um die Rolle DefaultRole workspaces\$1 zu erstellen**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Wählen Sie im Navigationsbereich auf der linken Seite **Roles (Rollen)**.
1. Wählen Sie **Rolle erstellen** aus.
1. Wählen Sie unter **Typ der vertrauenswürdigen Entität auswählen** die Option **Weiteres AWS -Konto** aus.
1. Geben Sie für **Account ID (Konto-ID)** Ihre Konto-ID ohne Bindestriche oder Leerzeichen ein.
1. Geben Sie unter **Options (Optionen)** keine Multi-Faktor-Authentifizierung (MFA) an.
1. Wählen Sie **Weiter: Berechtigungen** aus.
1. Wählen Sie auf der Seite „**Zugriffsrichtlinien anhängen**“ die AWS verwalteten Richtlinien **AmazonWorkSpacesServiceAccess**AmazonWorkSpacesSelfServiceAccess****, und **AmazonWorkSpacesPoolServiceAccess**aus. Weitere Informationen zu diesen verwalteten Richtlinien finden Sie unter[AWS verwaltete Richtlinien für WorkSpaces](managed-policies.md).
1. Es wird empfohlen, unter **Berechtigungsgrenze festlegen** keine Berechtigungsgrenze zu verwenden, da Konflikte mit den Richtlinien auftreten können, die der Rolle workspaces\$1DefaultRole zugeordnet sind. Solche Konflikte könnten bestimmte erforderliche Berechtigungen für die Rolle blockieren.
1. Wählen Sie **Weiter: Tags** aus.
1. Fügen Sie auf der Seite **Add tags (optional) (Tags hinzufügen (optional))** Tags hinzu, sofern erforderlich.
1. Wählen Sie **Weiter: Prüfen** aus.
1. Geben Sie auf der Seite **Review (Überprüfen)** für **Role name (Rollenname)** **workspaces\$1DefaultRole** ein.
1. (Optional) Geben Sie im Feld **Role description (Rollenbeschreibung)** eine Beschreibung ein.
1. Wählen Sie **Rolle erstellen** aus.
1. Wählen Sie auf der **Übersichtsseite** für die DefaultRole Rolle workspaces\$1 die Registerkarte **Vertrauensbeziehungen** aus.
1. Wählen Sie auf der Registerkarte **Trust relationships (Vertrauensstellungen)** die Option **Edit trust relationship (Vertrauensstellung bearbeiten)**.
1. Ersetzen Sie auf der Seite **Edit Trust Relationship (Vertrauensstellung bearbeiten)** die vorhandene Richtlinienanweisung durch die folgende Anweisung.
```
{
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "workspaces.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
1. Wählen Sie **Update Trust Policy** (Trust Policy aktualisieren).
## Erstellen Sie die Servicerolle AmazonWorkSpaces PCAAccess
Bevor sich Benutzer mit zertifikatbasierter Authentifizierung anmelden können, müssen Sie überprüfen, ob eine Rolle mit dem Namen `AmazonWorkSpacesPCAAccess` existiert. Diese Rolle wird erstellt, wenn Sie die zertifikatsbasierte Authentifizierung in einem Verzeichnis mithilfe von aktivieren AWS-Managementkonsole, und sie erteilt Amazon die WorkSpaces Erlaubnis, in Ihrem Namen auf AWS Private CA Ressourcen zuzugreifen. Wenn diese Rolle nicht existiert, weil Sie die Konsole nicht zur Verwaltung der zertifikatbasierten Authentifizierung verwenden, können Sie sie mit dem folgenden Verfahren erstellen.
**Um die AmazonWorkSpaces PCAAccess Servicerolle mit dem zu erstellen AWS CLI**
1. Erstellen Sie eine JSON-Datei namens `AmazonWorkSpacesPCAAccess.json` mit dem folgenden Text.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "prod.euc.ecm.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Passen Sie den `AmazonWorkSpacesPCAAccess.json` Pfad nach Bedarf an und führen Sie die folgenden AWS CLI Befehle aus, um die Servicerolle zu erstellen und die [AmazonWorkspacesPCAAccess](managed-policies.md#workspaces-pca-access)verwaltete Richtlinie anzuhängen.
```
aws iam create-role --path /service-role/ --role-name AmazonWorkSpacesPCAAccess --assume-role-policy-document file://AmazonWorkSpacesPCAAccess.json
```
```
aws iam attach-role-policy —role-name AmazonWorkSpacesPCAAccess —policy-arn arn:aws:iam::aws:policy/AmazonWorkspacesPCAAccess
```