Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Acciones, recursos y claves de condición de Amazon WorkSpaces
Amazon WorkSpaces (prefijo de servicio:workspaces) proporciona los siguientes recursos, acciones y claves de contexto de condiciones específicos del servicio para su uso en las políticas de permisos de IAM.
Referencias:
-
Obtenga información para configurar este servicio.
-
Vea una lista de las operaciones de API disponibles para este servicio.
-
Obtenga información sobre cómo proteger este servicio y sus recursos mediante las políticas de permisos de IAM.
Temas
Acciones definidas por Amazon WorkSpaces
Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.
La columna Tipos de recurso de la tabla de Acción indica si cada acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") a los que aplica la política en el elemento Resource de la instrucción de su política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Si la acción tiene uno o más recursos necesarios, la persona que llama debe tener permiso para usar la acción con esos recursos. Los recursos necesarios se indican en la tabla con un asterisco (*). Si limita el acceso a los recursos con el elemento Resource de una política de IAM, debe incluir un ARN o patrón para cada tipo de recurso requerido. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno de los tipos de recursos opcionales.
La columna Claves de condición de la tabla Acciones incluye claves que puede especificar en el elemento Condition de la instrucción de una política. Para obtener más información sobre las claves de condición asociadas a los recursos del servicio, consulte la columna Claves de condición de la tabla Tipos de recursos.
nota
Las claves de condición de recursos se enumeran en la tabla Tipos de recursos. Encontrará un enlace al tipo de recurso que se aplica a una acción en la columna Tipos de recursos (*obligatorio) de la tabla Acciones. El tipo de recurso de la tabla Tipos de recursos incluye la columna Claves de condición, que son las claves de condición del recurso que se aplican a una acción de la tabla Acciones.
Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.
| Acciones | Descripción | Nivel de acceso | Tipos de recursos (*necesarios) | Claves de condición | Acciones dependientes |
|---|---|---|---|---|---|
| AcceptAccountLinkInvitation | Otorga permiso para aceptar invitaciones de otras AWS cuentas para compartir la misma configuración de WorkSpaces BYOL | Escritura | |||
| AssociateConnectionAlias | Otorga permiso para asociar alias de conexión con directorios | Write | |||
| AssociateIpGroups | Otorga permiso para asociar grupos de control de acceso IP a directorios | Escritura | |||
| AssociateWorkspaceApplication | Otorga permiso para asociar una aplicación de espacio de trabajo a un WorkSpace | Escritura | |||
| AuthorizeIpRules | Otorga permiso para agregar reglas a grupos de control de acceso IP | Escritura |
workspaces:UpdateRulesOfIpGroup |
||
| CopyWorkspaceImage | Otorga permiso para copiar una WorkSpace imagen | Escritura |
workspaces:DescribeWorkspaceImages |
||
| CreateAccountLinkInvitation | Otorga permiso para invitar a otras AWS cuentas a compartir la misma configuración de WorkSpaces BYOL | Escritura | |||
| CreateConnectClientAddIn | Otorga permiso para crear un complemento de cliente de Amazon Connect dentro de un directorio | Escritura | |||
| CreateConnectionAlias | Otorga permiso para crear alias de conexión para su uso con la redirección entre regiones | Write | |||
| CreateIpGroup | Otorga permiso para crear grupos de control de acceso IP | Escritura | |||
| CreateStandbyWorkspaces | Otorga permiso para crear una o más opciones en modo de espera WorkSpaces | Escritura | |||
| CreateTags | Otorga permiso para crear etiquetas para WorkSpaces los recursos | Etiquetado | |||
| CreateUpdatedWorkspaceImage | Otorga permiso para crear una WorkSpace imagen actualizada | Escritura | |||
| CreateWorkspaceBundle | Otorga permiso para crear un WorkSpace paquete | Escritura |
workspaces:CreateTags |
||
| CreateWorkspaceImage | Otorga permiso para crear una WorkSpace imagen nueva | Escritura | |||
| CreateWorkspaces | Otorga permiso para crear una o más WorkSpaces | Escritura | |||
| DeleteAccountLinkInvitation | Otorga permiso para eliminar las invitaciones a otras AWS cuentas para que compartan la misma configuración de WorkSpaces BYOL | Escritura | |||
| DeleteClientBranding | Otorga permiso para eliminar los datos de marca del AWS WorkSpaces cliente en un directorio | Escritura | |||
| DeleteConnectClientAddIn | Otorga permiso para eliminar un complemento de cliente de Amazon Connect configurado dentro de un directorio | Escritura | |||
| DeleteConnectionAlias | Otorga permiso para eliminar alias de conexión | Write | |||
| DeleteIpGroup | Otorga permiso para eliminar grupos de control de acceso IP | Escritura | |||
| DeleteTags | Otorga permiso para eliminar etiquetas de WorkSpaces los recursos | Etiquetado | |||
| DeleteWorkspaceBundle | Otorga permiso para eliminar WorkSpace paquetes | Escritura | |||
| DeleteWorkspaceImage | Otorga permiso para eliminar imágenes WorkSpace | Escritura | |||
| DeployWorkspaceApplications | Otorga permiso para implementar todas las aplicaciones de espacio de trabajo pendientes en un WorkSpace | Escritura | |||
| DeregisterWorkspaceDirectory | Otorga permiso para anular el registro de directorios para su uso en Amazon WorkSpaces | Escritura | |||
| DescribeAccount | Otorga permiso para recuperar la configuración de Bring Your Own License (BYOL) para las cuentas WorkSpaces | Leer | |||
| DescribeAccountModifications | Otorga permiso para recuperar las modificaciones de la configuración de Bring Your Own License (BYOL) para las cuentas WorkSpaces | Leer | |||
| DescribeApplicationAssociations | Otorga permiso para recuperar información sobre los recursos asociados a una aplicación WorkSpace | Enumeración | |||
| DescribeApplications | Otorga permiso para obtener información sobre WorkSpace las aplicaciones | Enumeración | |||
| DescribeBundleAssociations | Otorga permiso para recuperar información sobre los recursos asociados a un WorkSpace paquete | Enumeración | |||
| DescribeClientBranding | Otorga permiso para recuperar los datos de marca del AWS WorkSpaces cliente en un directorio | Leer | |||
| DescribeClientProperties | Otorga permiso para recuperar información sobre WorkSpaces los clientes | Enumeración | |||
| DescribeConnectClientAddIns | Otorga permiso para obtener una lista de complementos de cliente de Amazon Connect que han sido creados | Enumeración | |||
| DescribeConnectionAliasPermissions | Otorga permiso para recuperar los permisos que los propietarios de los alias de conexión han otorgado a otras AWS cuentas para los alias de conexión | Leer | |||
| DescribeConnectionAliases | Otorga permiso para recuperar una lista que describe los alias de conexión utilizados para la redirección entre regiones | Leer | |||
| DescribeImageAssociations | Otorga permiso para recuperar información sobre los recursos asociados a una imagen WorkSpace | Enumeración | |||
| DescribeIpGroups | Otorga permiso para recuperar información sobre grupos de control de acceso IP | Leer | |||
| DescribeTags | Otorga permiso para describir las etiquetas de los WorkSpaces recursos | Leer | |||
| DescribeWorkspaceAssociations | Otorga permiso para recuperar información sobre los recursos asociados a un WorkSpace | Enumeración | |||
| DescribeWorkspaceBundles | Otorga permiso para obtener información sobre los WorkSpace paquetes | Enumeración | |||
| DescribeWorkspaceDirectories | Otorga permiso para recuperar información sobre los directorios en los que está registrado WorkSpaces | Leer | |||
| DescribeWorkspaceImagePermissions | Otorga permiso para recuperar información sobre los permisos WorkSpace de imagen | Leer | |||
| DescribeWorkspaceImages | Otorga permiso para recuperar información sobre WorkSpace imágenes | Enumeración | |||
| DescribeWorkspaceSnapshots | Otorga permiso para recuperar información sobre las WorkSpace instantáneas | Enumeración | |||
| DescribeWorkspaces | Otorga permiso para obtener información sobre WorkSpaces | Enumeración | |||
| DescribeWorkspacesConnectionStatus | Otorga permiso para obtener el estado de conexión de WorkSpaces | Leer | |||
| DisassociateConnectionAlias | Otorga permiso para desasociar alias de conexión de directorios | Write | |||
| DisassociateIpGroups | Otorga permiso para desasociar grupos de control de acceso IP de directorios | Escritura | |||
| DisassociateWorkspaceApplication | Otorga permiso para desasociar una aplicación de espacio de trabajo de una WorkSpace | Escritura | |||
| GetAccountLink | Otorga permiso para recuperar un enlace con otra AWS cuenta para compartir la configuración de BYOL WorkSpaces | Leer | |||
| ImportClientBranding | Otorga permiso para importar los datos de marca del AWS WorkSpaces cliente a un directorio | Escritura | |||
| ImportWorkspaceImage | Concede permiso para importar imágenes de Bring Your Own License (BYOL) a Amazon WorkSpaces | Escritura |
ec2:DescribeImages ec2:ModifyImageAttribute |
||
| ListAccountLinks | Otorga permiso para recuperar los enlaces a las AWS cuentas que comparten tu configuración de BYOL WorkSpaces | Enumeración | |||
| ListAvailableManagementCidrRanges | Otorga permiso para enumerar los rangos de CIDR disponibles para habilitar la licencia Bring Your Own License (BYOL) en las cuentas WorkSpaces | Enumeración | |||
| MigrateWorkspace | Otorga permiso para migrar WorkSpaces | Escritura | |||
| ModifyAccount | Otorga permiso para modificar la configuración de Bring Your Own License (BYOL) para las cuentas WorkSpaces | Escritura | |||
| ModifyCertificateBasedAuthProperties | Otorga permiso para modificar las propiedades de las autorizaciones basadas en certificados de un directorio | Escritura | |||
| ModifyClientProperties | Otorga permiso para modificar las propiedades de los clientes WorkSpaces | Escritura | |||
| ModifySamlProperties | Concede permiso para modificar las propiedades SAML de un directorio | Escritura | |||
| ModifySelfservicePermissions | Otorga permiso para modificar las capacidades de WorkSpace administración de autoservicio para sus usuarios | Administración de permisos | |||
| ModifyWorkspaceAccessProperties | Otorga permiso para especificar qué dispositivos y sistemas operativos pueden usar los usuarios para acceder a sus WorkSpaces | Escritura | |||
| ModifyWorkspaceCreationProperties | Otorga permiso para modificar las propiedades predeterminadas que se utilizan para crear WorkSpaces | Escritura | |||
| ModifyWorkspaceProperties | Otorga permiso para modificar WorkSpace las propiedades, incluidos el modo de ejecución y el AutoStop período | Escritura | |||
| ModifyWorkspaceState | Otorga permiso para modificar el estado de WorkSpaces | Escritura | |||
| RebootWorkspaces | Otorga permiso para reiniciar WorkSpaces | Escritura | |||
| RebuildWorkspaces | Otorga permiso para reconstruir WorkSpaces | Escritura | |||
| RegisterWorkspaceDirectory | Otorga permiso para registrar directorios para su uso con Amazon WorkSpaces | Escritura | |||
| RejectAccountLinkInvitation | Otorga permiso para rechazar invitaciones de otras AWS cuentas para compartir la misma configuración de WorkSpaces BYOL | Escritura | |||
| RestoreWorkspace | Otorga permiso para restaurar WorkSpaces | Escritura | |||
| RevokeIpRules | Otorga permiso para quitar reglas de grupos de control de acceso IP | Escritura |
workspaces:UpdateRulesOfIpGroup |
||
| StartWorkspaces | Otorga permiso para comenzar AutoStop WorkSpaces | Escritura | |||
| StopWorkspaces | Otorga permiso para detenerse AutoStop WorkSpaces | Escritura | |||
| Stream | Concede permiso a los usuarios federados para iniciar sesión con sus credenciales existentes y transmitir su espacio de trabajo | Escritura | |||
| TerminateWorkspaces | Otorga permiso para terminar WorkSpaces | Escritura | |||
| UpdateConnectClientAddIn | Otorga permiso para actualizar un complemento de cliente de Amazon Connect. Utilice esta acción para actualizar el nombre y la URL del punto de conexión de un complemento cliente de Amazon Connect | Escritura | |||
| UpdateConnectionAliasPermission | Otorga permiso para compartir o anular el uso compartido de alias de conexión con otras cuentas | Permissions management | |||
| UpdateRulesOfIpGroup | Otorga permiso con el fin de reemplazar reglas para grupos de control de acceso IP | Escritura |
workspaces:AuthorizeIpRules workspaces:RevokeIpRules |
||
| UpdateWorkspaceBundle | Otorga permiso para actualizar las WorkSpace imágenes utilizadas en los WorkSpace paquetes | Escritura | |||
| UpdateWorkspaceImagePermission | Otorga permiso para compartir o dejar de compartir WorkSpace imágenes con otras cuentas especificando si otras cuentas tienen permiso para copiar la imagen | Administración de permisos |
Tipos de recursos definidos por Amazon WorkSpaces
Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recursos que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla Tipos de recursos. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recurso.
| Tipos de recurso | ARN | Claves de condición |
|---|---|---|
| directoryid |
arn:${Partition}:workspaces:${Region}:${Account}:directory/${DirectoryId}
|
|
| workspacebundle |
arn:${Partition}:workspaces:${Region}:${Account}:workspacebundle/${BundleId}
|
|
| workspaceid |
arn:${Partition}:workspaces:${Region}:${Account}:workspace/${WorkspaceId}
|
|
| workspaceimage |
arn:${Partition}:workspaces:${Region}:${Account}:workspaceimage/${ImageId}
|
|
| workspaceipgroup |
arn:${Partition}:workspaces:${Region}:${Account}:workspaceipgroup/${GroupId}
|
|
| connectionalias |
arn:${Partition}:workspaces:${Region}:${Account}:connectionalias/${ConnectionAliasId}
|
|
| workspaceapplication |
arn:${Partition}:workspaces:${Region}:${Account}:workspaceapplication/${WorkSpaceApplicationId}
|
Claves de estado de Amazon WorkSpaces
Amazon WorkSpaces define las siguientes claves de condición que se pueden utilizar en el Condition elemento de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla de Claves de condición.
Para ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles.
| Claves de condición | Descripción | Tipo |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtra acciones basadas en las etiquetas que se aprueban en la solicitud | Cadena |
| aws:ResourceTag/${TagKey} | Filtra acciones en función de la etiqueta asociada con el recurso | Cadena |
| aws:TagKeys | Filtra acciones basadas en las claves de etiqueta que se aprueban en la solicitud | ArrayOfString |
| workspaces:userId | Filtra el acceso mediante el ID del usuario de WorkSpaces | Cadena |
