Acciones, recursos y claves de condición para Amazon WorkSpaces - Referencia de autorizaciones de servicio

Acciones, recursos y claves de condición para Amazon WorkSpaces

Amazon WorkSpaces (prefijo de servicio: workspaces) proporciona las siguientes claves de contexto de condición, acciones y recursos específicos del servicio para su uso en las políticas de permisos de IAM.

Referencias:

Acciones definidas por Amazon WorkSpaces

Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.

La columna Resource types (Tipos de recurso) indica si la acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") en el elemento Resource de la instrucción de la política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Los recursos necesarios se indican en la tabla con un asterisco (*). Si especifica un ARN de permiso de recursos en una instrucción mediante esta acción, deberá ser de este tipo. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno pero no el otro.

Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.

Acciones Descripción Nivel de acceso Tipos de recursos (*necesarios) Claves de condición Acciones dependientes
AssociateConnectionAlias Otorga permiso para asociar alias de conexión con directorios Write

connectionalias*

directoryid*

AssociateIpGroups Otorga permiso para asociar grupos de control de acceso IP a directorios Write

directoryid*

workspaceipgroup*

AuthorizeIpRules Otorga permiso para agregar reglas a grupos de control de acceso IP Write

workspaceipgroup*

CopyWorkspaceImage Otorga permiso para copiar una imagen de WorkSpace Escritura

workspaceimage*

workspaces:DescribeWorkspaceImages

aws:RequestTag/${TagKey}

aws:TagKeys

CreateConnectClientAddIn Otorga permiso para crear un complemento de cliente de Amazon Connect dentro de un directorio Escritura

directoryid*

CreateConnectionAlias Otorga permiso para crear alias de conexión para su uso con la redirección entre regiones Write

aws:RequestTag/${TagKey}

aws:TagKeys

CreateIpGroup Otorga permiso para crear grupos de control de acceso IP Write

aws:RequestTag/${TagKey}

aws:TagKeys

CreateTags Otorga permiso para crear etiquetas para recursos de WorkSpaces Etiquetado

aws:RequestTag/${TagKey}

aws:TagKeys

CreateUpdatedWorkspaceImage Concede el permiso para crear una imagen de WorkSpace actualizada Escritura

workspaceimage*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateWorkspaceBundle Otorga permiso para crear un paquete de WorkSpace Escritura

workspacebundle*

workspaces:CreateTags

workspaceimage*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateWorkspaceImage Concede permiso para crear una nueva imagen de WorkSpace Escritura

workspaceid*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateWorkspaces Otorga permiso para crear uno o varios WorkSpaces Escritura

directoryid*

workspacebundle*

workspaceid*

aws:RequestTag/${TagKey}

aws:TagKeys

DeleteClientBranding Otorga permiso para eliminar datos de promoción de marca de AWS WorkSpaces Client dentro de un directorio Escritura

directoryid*

DeleteConnectClientAddIn Otorga permiso para eliminar un complemento de cliente de Amazon Connect configurado dentro de un directorio Escritura

directoryid*

DeleteConnectionAlias Otorga permiso para eliminar alias de conexión Write

connectionalias*

DeleteIpGroup Otorga permiso para eliminar grupos de control de acceso IP Write

workspaceipgroup*

DeleteTags Otorga permiso para eliminar etiquetas de recursos de WorkSpaces Etiquetado

aws:RequestTag/${TagKey}

aws:TagKeys

DeleteWorkspaceBundle Otorga permiso para eliminar paquetes de WorkSpace Write

workspacebundle*

DeleteWorkspaceImage Otorga permiso para eliminar imágenes de WorkSpace Write

workspaceimage*

DeregisterWorkspaceDirectory Otorga permiso para anular el registro de directorios para que no se utilicen con Amazon WorkSpaces Write

directoryid*

DescribeAccount Otorga permiso para recuperar la configuración de Bring Your Own License (BYOL) para cuentas de WorkSpaces Read
DescribeAccountModifications Otorga permiso para recuperar modificaciones en la configuración de Bring Your Own License (BYOL) para cuentas de WorkSpaces Lectura
DescribeClientBranding Otorga permiso para recuperar datos de promoción de marca de AWS WorkSpaces Client dentro de un directorio Lectura

directoryid*

DescribeClientProperties Otorga permiso para recuperar información sobre clientes de WorkSpaces List

directoryid*

DescribeConnectClientAddIns Otorga permiso para obtener una lista de complementos de cliente de Amazon Connect que han sido creados List

directoryid*

DescribeConnectionAliasPermissions Otorga permiso para recuperar los permisos que los propietarios de alias de conexión han concedido a otras cuentas de AWS con respecto a los alias de conexión. Read

connectionalias*

DescribeConnectionAliases Otorga permiso para recuperar una lista que describe los alias de conexión utilizados para la redirección entre regiones Read
DescribeIpGroups Otorga permiso para recuperar información sobre grupos de control de acceso IP Read

workspaceipgroup*

DescribeTags Otorga permiso para describir las etiquetas de los recursos de WorkSpaces Lectura
DescribeWorkspaceBundles Otorga permiso para obtener información sobre paquetes de WorkSpace List
DescribeWorkspaceDirectories Otorga permiso para recuperar información sobre directorios registrados con WorkSpaces Read
DescribeWorkspaceImagePermissions Otorga permiso para recuperar información acerca de los permisos de imagen de WorkSpace Read

workspaceimage*

DescribeWorkspaceImages Otorga permiso para recuperar información sobre imágenes de WorkSpace List
DescribeWorkspaceSnapshots Otorga permiso para recuperar información sobre instantáneas de WorkSpace List

workspaceid*

DescribeWorkspaces Otorga permiso para obtener información acerca de WorkSpaces List
DescribeWorkspacesConnectionStatus Otorga permiso para obtener el estado de conexión de WorkSpaces Read
DisassociateConnectionAlias Otorga permiso para desasociar alias de conexión de directorios Write

connectionalias*

DisassociateIpGroups Otorga permiso para desasociar grupos de control de acceso IP de directorios Escritura

directoryid*

workspaceipgroup*

ImportClientBranding Otorga permiso para importar datos de promoción de marca de AWS WorkSpaces Client dentro de un directorio Escritura

directoryid*

ImportWorkspaceImage Otorga permiso para importar imágenes de Bring Your Own License (BYOL) en Amazon WorkSpaces Write

ec2:DescribeImages

ec2:ModifyImageAttribute

ListAvailableManagementCidrRanges Otorga permiso para enumerar los rangos CIDR disponibles para habilitar Bring Your Own License (BYOL) en cuentas de WorkSpaces List
MigrateWorkspace Otorga permiso para migrar WorkSpaces Write

workspacebundle*

workspaceid*

ModifyAccount Otorga permiso para modificar la configuración de Bring Your Own License (BYOL) para cuentas de WorkSpaces Write
ModifyClientProperties Otorga permiso para modificar las propiedades de los clientes de WorkSpaces Escritura

directoryid*

ModifySamlProperties Concede permiso para modificar las propiedades SAML de un directorio Escritura

directoryid*

ModifySelfservicePermissions Otorga permiso para modificar las capacidades de administración de WorkSpace de autoservicio para los usuarios Permissions management

directoryid*

ModifyWorkspaceAccessProperties Otorga permiso para especificar qué dispositivos y sistemas operativos pueden utilizar los usuarios para acceder a sus WorkSpaces Write

directoryid*

ModifyWorkspaceCreationProperties Otorga permiso con el fin de modificar las propiedades predeterminadas utilizadas para crear WorkSpaces Write

directoryid*

ModifyWorkspaceProperties Otorga permiso para modificar las propiedades de WorkSpace, incluidos el modo de ejecución y el periodo de AutoStop Write

workspaceid*

ModifyWorkspaceState Otorga permiso para modificar el estado de WorkSpaces Write

workspaceid*

RebootWorkspaces Otorga permiso para reiniciar WorkSpaces Write

workspaceid*

RebuildWorkspaces Otorga permiso para reconstruir WorkSpaces Write

workspaceid*

RegisterWorkspaceDirectory Otorga permiso con el fin de registrar directorios para utilizarlos con Amazon WorkSpaces Write

directoryid*

aws:RequestTag/${TagKey}

aws:TagKeys

RestoreWorkspace Otorga permiso para restaurar WorkSpaces Write

workspaceid*

RevokeIpRules Otorga permiso para quitar reglas de grupos de control de acceso IP Write

workspaceipgroup*

StartWorkspaces Otorga permiso para iniciar AutoStop WorkSpaces Write

workspaceid*

StopWorkspaces Otorga permiso para detener AutoStop WorkSpaces Escritura

workspaceid*

Stream Concede permiso a los usuarios federados para iniciar sesión con sus credenciales existentes y transmitir su espacio de trabajo Escritura

directoryid*

workspaces:userId

TerminateWorkspaces Otorga permiso para terminar WorkSpaces Escritura

workspaceid*

UpdateConnectClientAddIn Otorga permiso para actualizar un complemento de cliente de Amazon Connect. Utilice esta acción para actualizar el nombre y la URL del punto de conexión de un complemento cliente de Amazon Connect Escritura

directoryid*

UpdateConnectionAliasPermission Otorga permiso para compartir o anular el uso compartido de alias de conexión con otras cuentas Permissions management

connectionalias*

UpdateRulesOfIpGroup Otorga permiso con el fin de reemplazar reglas para grupos de control de acceso IP Write

workspaceipgroup*

UpdateWorkspaceBundle Otorga permiso para actualizar las imágenes de WorkSpace utilizadas en paquetes de WorkSpace Write

workspacebundle*

workspaceimage*

UpdateWorkspaceImagePermission Otorga permiso para compartir o anular el uso compartido de imágenes de WorkSpace con otras cuentas especificando si otras cuentas tienen permiso para copiar la imagen Permissions management

workspaceimage*

Tipos de recurso definidos por Amazon WorkSpaces

Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recursos que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recurso.

Tipos de recurso ARN Claves de condición
directoryid arn:${Partition}:workspaces:${Region}:${Account}:directory/${DirectoryId}

aws:ResourceTag/${TagKey}

workspacebundle arn:${Partition}:workspaces:${Region}:${Account}:workspacebundle/${BundleId}

aws:ResourceTag/${TagKey}

workspaceid arn:${Partition}:workspaces:${Region}:${Account}:workspace/${WorkspaceId}

aws:ResourceTag/${TagKey}

workspaceimage arn:${Partition}:workspaces:${Region}:${Account}:workspaceimage/${ImageId}

aws:ResourceTag/${TagKey}

workspaceipgroup arn:${Partition}:workspaces:${Region}:${Account}:workspaceipgroup/${GroupId}

aws:ResourceTag/${TagKey}

connectionalias arn:${Partition}:workspaces:${Region}:${Account}:connectionalias/${ConnectionAliasId}

aws:ResourceTag/${TagKey}

Claves de condición de Amazon WorkSpaces

Amazon WorkSpaces define las siguientes claves de condición que pueden utilizarse en el elemento Condition de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla de Claves de condición.

A fin de ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles.

Claves de condición Descripción Tipo
aws:RequestTag/${TagKey} Filtra acciones basadas en las etiquetas que se aprueban en la solicitud Cadena
aws:ResourceTag/${TagKey} Filtra acciones en función de la etiqueta asociada con el recurso Cadena
aws:TagKeys Filtra acciones basadas en las claves de etiqueta que se aprueban en la solicitud ArrayOfString
workspaces:userId Filtra el acceso mediante el ID del usuario de WorkSpaces Cadena