Permisos de rol vinculados a servicios para Web WorkSpaces Creación de un rol vinculado a un servicio para Web WorkSpaces Edición de un rol vinculado a un servicio para Web WorkSpaces Eliminar un rol vinculado a un servicio para Web WorkSpaces Regiones compatibles para funciones WorkSpaces vinculadas a servicios web

Uso de roles vinculados a servicios para la Web WorkSpaces

WorkSpacesLa web usa AWS Identity and Access Management roles vinculados a servicios (IAM). Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a la Web. WorkSpaces Los roles vinculados a servicios están predefinidos por WorkSpaces Web e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en su nombre.

Un rol vinculado a un servicio facilita la configuración de la WorkSpaces Web, ya que no es necesario añadir manualmente los permisos necesarios. WorkSpacesLa Web define los permisos de sus funciones vinculadas a servicios y, a menos que se defina lo contrario, solo la WorkSpaces Web puede asumir sus funciones. Los permisos definidos incluyen las políticas de confianza y permisos. La política de permisos no se puede adjuntar a ninguna otra entidad de IAM.

Solo puede eliminar un rol vinculado a servicios después de eliminar sus recursos relacionados. Esto protege sus recursos WorkSpaces web porque no puede eliminar inadvertidamente el permiso de acceso a los recursos.

Para obtener información sobre otros servicios que son compatibles con los roles vinculados a servicios, consulte Servicios de AWS que funcionan con IAM y busque los servicios que muestran Yes (Sí) en la columna Service-Linked Role (Rol vinculado a servicios). Seleccione una opción Sí con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.

Permisos de rol vinculados a servicios para Web WorkSpaces

WorkSpacesLa web utiliza la función vinculada al servicio denominadaAWSServiceRoleForAmazonWorkSpacesWeb: la WorkSpaces web utiliza esta función vinculada a servicios para acceder a los recursos de Amazon EC2 de las cuentas de los clientes para transmitir instancias y métricas. CloudWatch

El rol vinculado a servicios AWSServiceRoleForAmazonWorkSpacesWeb confía en los siguientes servicios para asumir el rol:

workspaces-web.amazonaws.com

La política de permisos de rol denominada AmazonWorkSpacesWebServiceRolePolicy permite a WorkSpaces Web completar las siguientes acciones en los recursos especificados. Para obtener más información, consulte AWSpolítica gestionada: AmazonWorkSpacesWebServiceRole Política.

Acción: ec2:DescribeVpcs en all AWS resources
Acción: ec2:DescribeSubnets en all AWS resources
Acción: ec2:DescribeAvailabilityZones en all AWS resources
Acción: ec2:CreateNetworkInterface sin recursos aws:RequestTag/WorkSpacesWebManaged: true de subred ni grupo de seguridad
Acción: ec2:DescribeNetworkInterfaces en all AWS resources
Acción: ec2:DeleteNetworkInterface en interfaces de red con aws:ResourceTag/WorkSpacesWebManaged: true
Acción: ec2:DescribeSubnets en all AWS resources
Acción: ec2:AssociateAddress en all AWS resources
Acción: ec2:DisassociateAddress en all AWS resources
Acción: ec2:DescribeRouteTables en all AWS resources
Acción: ec2:DescribeSecurityGroups en all AWS resources
Acción: ec2:DescribeVpcEndpoints en all AWS resources
Acción: ec2:CreateTags en ec2:CreateNetworkInterface funcionamiento con aws:TagKeys: ["WorkSpacesWebManaged"]
Acción: cloudwatch:PutMetricData en all AWS resources
Acción: kinesis:PutRecord en flujos de datos de Kinesis con nombres que comiencen por amazon-workspaces-web-
Acción: kinesis:PutRecords en flujos de datos de Kinesis con nombres que comiencen por amazon-workspaces-web-
Acción: kinesis:DescribeStreamSummary en flujos de datos de Kinesis con nombres que comiencen por amazon-workspaces-web-

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.

Creación de un rol vinculado a un servicio para Web WorkSpaces

No necesita crear manualmente un rol vinculado a servicios. Al crear su primer portal en laAWS Management Console, la AWS CLI API o la AWS API, WorkSpaces Web crea el rol vinculado al servicio por usted.

importante

Este rol vinculado al servicio puede aparecer en su cuenta si se ha completado una acción en otro servicio que utilice las características compatibles con este rol.

Si eliminas este rol vinculado al servicio y luego necesitas volver a crearlo, puedes usar el mismo proceso para volver a crear el rol en tu cuenta. Al crear su primer portal, WorkSpaces Web vuelve a crear el rol de enlace al servicio.

También puede utilizar la consola de IAM para crear un rol vinculado a un servicio con el caso de uso de la WorkSpacesweb. En la AWS CLI o la API de AWS, cree un rol vinculado al servicio con el nombre de servicio workspaces-web.amazonaws.com. Para obtener más información, consulte Crear un rol vinculado a un servicio en la Guía del usuario de IAM. Si elimina este rol vinculado al servicio, puede utilizar este mismo proceso para volver a crear el rol.

Edición de un rol vinculado a un servicio para Web WorkSpaces

WorkSpacesLa web no permite editar el rol AWSServiceRoleForAmazonWorkSpacesWeb vinculado al servicio. Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol utilizando IAM. Para obtener más información, consulte Editar un rol vinculado a servicios en la Guía del usuario de IAM..

Eliminar un rol vinculado a un servicio para Web WorkSpaces

Si ya no necesita utilizar una característica o servicio que requiere un rol vinculado a un servicio, recomendamos que elimine dicho rol. De esta forma no tiene una entidad no utilizada que no se monitorice ni mantenga de forma activa. Sin embargo, debe limpiar los recursos del rol vinculado al servicio antes de eliminarlo manualmente.

nota

Si el servicio WorkSpaces web utiliza la función cuando intenta eliminar los recursos, es posible que la eliminación falle. En tal caso, espere unos minutos e intente de nuevo la operación.

Para eliminar los recursos WorkSpaces web utilizados por AWSServiceRoleForAmazonWorkSpacesWeb

Elige una de las siguientes opciones:
- Si usas la consola, elimina todos los portales de la consola.
- Si usa la CLI o la API, desasocie todos sus recursos (incluida la configuración del navegador, la configuración de red, la configuración de usuario, los almacenes de confianza y la configuración del registro de acceso de los usuarios) de sus portales, elimínelos y, a continuación, elimine los portales.

Para eliminar manualmente el rol vinculado a servicios mediante IAM

Puede usar la consola de IAM, la AWS CLI o la API de AWS para eliminar el rol vinculado a un servicio AWSServiceRoleForAmazonWorkSpacesWeb. Para obtener más información, consulte Eliminación de un rol vinculado a servicios en la Guía del usuario de IAM.

Regiones compatibles para funciones WorkSpaces vinculadas a servicios web

WorkSpacesLa web admite el uso de roles vinculados a servicios en todas las regiones en las que el servicio está disponible. Para obtener más información, consulte Regiones y puntos de enlace de AWS.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Solución de problemas

Respuesta frente a incidencias