AWS políticas administradas para WorkSpaces Secure Browser - Navegador Amazon WorkSpaces Secure

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS políticas administradas para WorkSpaces Secure Browser

Para añadir permisos a usuarios, grupos y roles, es más fácil usar políticas AWS administradas que escribirlas usted mismo. Se necesita tiempo y experiencia para crear políticas administradas por el cliente de IAM que proporcionen a su equipo solo los permisos necesarios. Para empezar rápidamente, puedes usar nuestras políticas AWS gestionadas. Estas políticas cubren casos de uso comunes y están disponibles en tu AWS cuenta. Para obtener más información sobre las políticas AWS administradas, consulte las políticas AWS administradas en la Guía del usuario de IAM.

AWS los servicios mantienen y AWS actualizan las políticas gestionadas. No puede cambiar los permisos en las políticas AWS gestionadas. En ocasiones, los servicios pueden añadir permisos adicionales a una política AWS gestionada para admitir nuevas funciones. Este tipo de actualización afecta a todas las identidades (usuarios, grupos y roles) donde se asocia la política. Es más probable que los servicios actualicen una política administrada por AWS cuando se lanza una nueva característica o cuando se ponen a disposición nuevas operaciones. Los servicios no eliminan los permisos de una política AWS administrada, por lo que las actualizaciones de la política no afectarán a los permisos existentes.

Además, AWS admite políticas administradas para funciones laborales que abarcan varios servicios. Por ejemplo, la política ReadOnlyAccess AWS gestionada proporciona acceso de solo lectura a todos los AWS servicios y recursos. Cuando un servicio lanza una nueva función, AWS agrega permisos de solo lectura para nuevas operaciones y recursos. Para obtener una lista y descripciones de las políticas de funciones de trabajo, consulte Políticas administradas de AWS para funciones de trabajo en la Guía del usuario de IAM.

AWS política gestionada: AmazonWorkSpacesWebServiceRolePolicy

No puede adjuntar la política AmazonWorkSpacesWebServiceRolePolicy a sus entidades de IAM. Esta política está asociada a un rol vinculado a un servicio que permite a WorkSpaces Secure Browser realizar acciones en su nombre. Para obtener más información, consulte Uso de funciones vinculadas a servicios para WorkSpaces Secure Browser.

Esta política otorga permisos administrativos que permiten el acceso a los AWS servicios y recursos utilizados o administrados por WorkSpaces Secure Browser.

Detalles de los permisos

Esta política incluye los permisos siguientes:

  • WorkSpaces Secure Browser— Permite el acceso a AWS los servicios y recursos utilizados o administrados por WorkSpaces Secure Browser.

  • ec2: permite a las entidades principales describir las VPC, las subredes y las zonas de disponibilidad; crear, etiquetar, describir y eliminar interfaces de red; asociar o desasociar una dirección; y describir las tablas de enrutamiento, los grupos de seguridad y los puntos de conexión de VPC.

  • CloudWatch: permite a las entidades principales colocar datos métricos.

  • Kinesis: permite a las entidades principales describir un resumen de los flujos de datos de Kinesis y colocar registros en flujos de datos de Kinesis para registrar el acceso de los usuarios. Para obtener más información, consulte Configuración del registro de acceso de usuario.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeAvailabilityZones", "ec2:DescribeNetworkInterfaces", "ec2:AssociateAddress", "ec2:DisassociateAddress", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroups", "ec2:DescribeVpcEndpoints" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": [ "arn:aws:ec2:*:*:subnet/*", "arn:aws:ec2:*:*:security-group/*" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": "arn:aws:ec2:*:*:network-interface/*", "Condition": { "StringEquals": { "aws:RequestTag/WorkSpacesWebManaged": "true" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:*:*:network-interface/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateNetworkInterface" }, "ForAllValues:StringEquals": { "aws:TagKeys": [ "WorkSpacesWebManaged" ] } } }, { "Effect": "Allow", "Action": [ "ec2:DeleteNetworkInterface" ], "Resource": "arn:aws:ec2:*:*:network-interface/*", "Condition": { "StringEquals": { "aws:ResourceTag/WorkSpacesWebManaged": "true" } } }, { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData" ], "Resource": "*", "Condition": { "StringEquals": { "cloudwatch:namespace": [ "AWS/WorkSpacesWeb", "AWS/Usage" ] } } }, { "Effect": "Allow", "Action": [ "kinesis:PutRecord", "kinesis:PutRecords", "kinesis:DescribeStreamSummary" ], "Resource": "arn:aws:kinesis:*:*:stream/amazon-workspaces-web-*" } ] }

AWS política gestionada: AmazonWorkSpacesWebReadOnly

Puede adjuntar la política AmazonWorkSpacesWebReadOnly a las identidades de IAM.

Esta política otorga permisos de solo lectura que permiten el acceso a WorkSpaces Secure Browser y sus dependencias a través de la consola de AWS administración, el SDK y la CLI. Esta política no incluye los permisos necesarios para interactuar con los portales utilizando IAM_Identity_Center como tipo de autenticación. Para obtener estos permisos, combine esta política con AWSSSOReadOnly.

Detalles de los permisos

Esta política incluye los siguientes permisos.

  • WorkSpaces Secure Browser— Proporciona acceso de solo lectura a WorkSpaces Secure Browser y sus dependencias a través de la consola de AWS administración, el SDK y la CLI.

  • ec2: permite a las entidades principales describir las VPC y los grupos de seguridad. Se utiliza en la consola de AWS administración de WorkSpaces Secure Browser para mostrarle las VPC, las subredes y los grupos de seguridad que están disponibles para su uso con el servicio.

  • Kinesis: permite a las entidades principales obtener una lista de los flujos de datos de Kinesis. Se usa en la consola de AWS administración de WorkSpaces Secure Browser para mostrarle las transmisiones de datos de Kinesis que están disponibles para su uso con el servicio.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "workspaces-web:GetBrowserSettings", "workspaces-web:GetIdentityProvider", "workspaces-web:GetNetworkSettings", "workspaces-web:GetPortal", "workspaces-web:GetPortalServiceProviderMetadata", "workspaces-web:GetTrustStore", "workspaces-web:GetTrustStoreCertificate", "workspaces-web:GetUserSettings", "workspaces-web:GetUserAccessLoggingSettings", "workspaces-web:ListBrowserSettings", "workspaces-web:ListIdentityProviders", "workspaces-web:ListNetworkSettings", "workspaces-web:ListPortals", "workspaces-web:ListTagsForResource", "workspaces-web:ListTrustStoreCertificates", "workspaces-web:ListTrustStores", "workspaces-web:ListUserSettings", "workspaces-web:ListUserAccessLoggingSettings" ], "Resource": "arn:aws:workspaces-web:*:*:*" }, { "Effect": "Allow", "Action": [ "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups", "kinesis:ListStreams" ], "Resource": "*" } ] }

WorkSpaces Secure Browser actualiza las políticas AWS administradas

Consulte los detalles sobre las actualizaciones de las políticas AWS administradas de WorkSpaces Secure Browser desde que este servicio comenzó a rastrear estos cambios. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en la página de Historial de documentos de la Guía de administración de Amazon WorkSpaces Secure Browser.

Cambio Descripción Fecha

AmazonWorkSpacesWebServiceRolePolicy: política actualizada

WorkSpaces Secure Browser actualizó la política CreateNetworkInterface para restringir la posibilidad de etiquetar con awsWorkSpacesWebManaged:RequestTag/: true y actuar en los recursos de subredes y grupos de seguridad, así como restringirla DeleteNetworkInterface a los ENI etiquetados con aws:ResourceTag/WorkSpacesWebManaged: true. 15 de diciembre de 2022

AmazonWorkSpacesWebReadOnly: política actualizada

WorkSpaces Secure Browser actualizó la política para incluir permisos de lectura para el acceso de los usuarios, el registro y la lista de las transmisiones de datos de Kinesis. Para obtener más información, consulte Configuración del registro de acceso de usuario.

2 de noviembre de 2022

AmazonWorkSpacesWebServiceRolePolicy: política actualizada

WorkSpaces Secure Browser actualizó la política para describir un resumen de las transmisiones de datos de Kinesis e incluir registros en las transmisiones de datos de Kinesis para registrar el acceso de los usuarios. Para obtener más información, consulte Configuración del registro de acceso de usuario.

17 de octubre de 2022

AmazonWorkSpacesWebServiceRolePolicy: política actualizada

WorkSpaces Secure Browser actualizó la política para crear etiquetas durante la creación de ENI.

6 de septiembre de 2022

AmazonWorkSpacesWebServiceRolePolicy: política actualizada

WorkSpaces Secure Browser actualizó la política para añadir el espacio de nombres AWS/Usage a los permisos de la API. PutMetricData

6 de abril de 2022

AmazonWorkSpacesWebReadOnly: política nueva

WorkSpaces Secure Browser agregó una nueva política para proporcionar acceso de solo lectura a WorkSpaces Secure Browser y sus dependencias a través de la consola de administración de AWS, el SDK y la CLI.

30 de noviembre de 2021

AmazonWorkSpacesWebServiceRolePolicy: política nueva

WorkSpaces Secure Browser agregó una nueva política para permitir el acceso a los servicios y recursos de AWS utilizados o administrados por WorkSpaces Secure Browser.

30 de noviembre de 2021

WorkSpaces Secure Browser comenzó a rastrear los cambios

WorkSpaces Secure Browser comenzó a rastrear los cambios en sus políticas AWS administradas.

30 de noviembre de 2021