Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Actions, ressources et clés de condition pour Amazon WorkSpaces
Amazon WorkSpaces (préfixe de service :workspaces) fournit les ressources, actions et clés de contexte de condition spécifiques aux services suivantes à utiliser dans les politiques d'autorisation IAM.
Références :
-
Découvrez comment configurer ce service.
-
Affichez la liste des opérations d'API disponibles pour ce service.
-
Découvrez comment protéger ce service et ses ressources avec les stratégies d'autorisation IAM.
Rubriques
Actions définies par Amazon WorkSpaces
Vous pouvez indiquer les actions suivantes dans l'élément Action d'une déclaration de politique IAM. Utilisez des politiques pour accorder des autorisations permettant d'effectuer une opération dans AWS. Lorsque vous utilisez une action dans une politique, vous autorisez ou refusez généralement l'accès à l'opération d'API ou à la commande CLI portant le même nom. Toutefois, dans certains cas, une seule action contrôle l'accès à plusieurs opérations. D'autres opérations, quant à elles, requièrent plusieurs actions différentes.
La colonne Types de ressources indique si chaque action prend en charge les autorisations au niveau des ressources. S'il n'y a pas de valeur pour cette colonne, vous devez indiquer toutes les ressources (« * ») dans l'élément Resource de votre déclaration de politique. Si la colonne inclut un type de ressource, vous pouvez indiquer un ARN de ce type dans une déclaration avec cette action. Si l'action comporte une ou plusieurs ressources requises, l'appelant doit être autorisé à utiliser l'action avec ces ressources. Les ressources requises sont indiquées dans le tableau par un astérisque (*). Si vous limitez l'accès aux ressources avec l'Resourceélément dans une politique IAM, vous devez inclure un ARN ou un modèle pour chaque type de ressource requis. Certaines actions prennent en charge plusieurs types de ressources. Si le type de ressource est facultatif (non indiqué comme obligatoire), vous pouvez choisir d'utiliser l'un, mais pas l'autre.
La colonne Clés de condition inclut des clés que vous pouvez spécifier dans l'élément Condition d'une déclaration de politique. Pour plus d'informations sur les clés de condition associées aux ressources du service, consultez la colonne Clés de condition du tableau des types de ressources.
Note
Les clés de condition des ressources sont répertoriées dans le tableau Types de ressources. Vous pouvez trouver un lien vers le type de ressource qui s'applique à une action dans la colonne Types de ressources (* obligatoire) du tableau Actions. Le type de ressource indiqué dans le tableau Types de ressources inclut la colonne Clés de condition, qui contient les clés de condition de ressource qui s'appliquent à une action dans le tableau Actions.
Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Actions.
| Actions | Description | Niveau d'accès | Types de ressources (*obligatoire) | Clés de condition | Actions dépendantes |
|---|---|---|---|---|---|
| AcceptAccountLinkInvitation | Accorde l'autorisation d'accepter des invitations provenant d'autres AWS comptes pour partager la même configuration pour WorkSpaces BYOL | Écrire | |||
| AssociateConnectionAlias | Accorde l'autorisation d'associer des alias de connexion à des répertoires. | Écriture | |||
| AssociateIpGroups | Accorde l'autorisation d'associer des groupes de contrôle d'accès IP à des répertoires. | Écrire | |||
| AssociateWorkspaceApplication | Accorde l'autorisation d'associer une application d'espace de travail à un WorkSpace | Écrire | |||
| AuthorizeIpRules | Accorde l'autorisation d'ajouter des règles aux groupes de contrôle d'accès IP. | Écrire |
workspaces:UpdateRulesOfIpGroup |
||
| CopyWorkspaceImage | Autorise la copie d'une WorkSpace image | Écrire |
workspaces:DescribeWorkspaceImages |
||
| CreateAccountLinkInvitation | Accorde l'autorisation d'inviter d'autres AWS comptes à partager la même configuration pour WorkSpaces BYOL | Écrire | |||
| CreateConnectClientAddIn | Accorde l'autorisation de créer une extension client Amazon Connect dans un répertoire | Écrire | |||
| CreateConnectionAlias | Accorde l'autorisation de créer des alias de connexion à utiliser avec la redirection entre régions. | Écriture | |||
| CreateIpGroup | Accorde l'autorisation de créer des groupes de contrôle d'accès IP. | Écrire | |||
| CreateStandbyWorkspaces | Accorde l'autorisation de créer un ou plusieurs Standby WorkSpaces | Écrire | |||
| CreateTags | Accorde l'autorisation de créer des balises pour les WorkSpaces ressources | Identification | |||
| CreateUpdatedWorkspaceImage | Accorde l'autorisation de créer une WorkSpace image mise à jour | Écrire | |||
| CreateWorkspaceBundle | Accorde l'autorisation de créer un WorkSpace bundle | Écrire |
workspaces:CreateTags |
||
| CreateWorkspaceImage | Accorde l'autorisation de créer une nouvelle WorkSpace image | Écrire | |||
| CreateWorkspaces | Accorde l'autorisation d'en créer un ou plusieurs WorkSpaces | Écrire | |||
| CreateWorkspacesPool | Accorde l'autorisation de créer un WorkSpaces pool | Écrire | |||
| DeleteAccountLinkInvitation | Accorde l'autorisation de supprimer des invitations à d'autres AWS comptes afin de partager la même configuration pour WorkSpaces BYOL | Écrire | |||
| DeleteClientBranding | Accorde l'autorisation de supprimer les données de marque du AWS WorkSpaces client dans un répertoire | Écrire | |||
| DeleteConnectClientAddIn | Accorde l'autorisation de supprimer une extension client Amazon Connect configurée dans un répertoire | Écrire | |||
| DeleteConnectionAlias | Accorde l'autorisation de supprimer des alias de connexion. | Écriture | |||
| DeleteIpGroup | Accorde l'autorisation de supprimer des groupes de contrôle d'accès IP. | Écrire | |||
| DeleteTags | Accorde l'autorisation de supprimer des balises des WorkSpaces ressources | Identification | |||
| DeleteWorkspaceBundle | Accorde l'autorisation de supprimer des WorkSpace bundles | Écrire | |||
| DeleteWorkspaceImage | Accorde l'autorisation de supprimer WorkSpace des images | Écrire | |||
| DeployWorkspaceApplications | Accorde l'autorisation de déployer toutes les applications d'espace de travail en attente sur un WorkSpace | Écrire | |||
| DeregisterWorkspaceDirectory | Accorde l'autorisation de désenregistrer les annuaires pour qu'ils ne soient plus utilisés par Amazon WorkSpaces | Écrire | |||
| DescribeAccount | Accorde l'autorisation de récupérer la configuration de Bring Your Own License (BYOL) pour les comptes WorkSpaces | Lecture | |||
| DescribeAccountModifications | Accorde l'autorisation de récupérer les modifications apportées à la configuration de Bring Your Own License (BYOL) pour les comptes WorkSpaces | Lecture | |||
| DescribeApplicationAssociations | Accorde l'autorisation de récupérer des informations sur les ressources associées à une WorkSpace application | Liste | |||
| DescribeApplications | Donne l'autorisation d'obtenir des informations sur WorkSpace les demandes | Liste | |||
| DescribeBundleAssociations | Octroie l'autorisation de récupérer des informations sur les ressources associées à un WorkSpace bundle | Liste | |||
| DescribeClientBranding | Accorde l'autorisation de récupérer les données de marque du AWS WorkSpaces client dans un annuaire | Lecture | |||
| DescribeClientProperties | Accorde l'autorisation de récupérer des informations sur WorkSpaces les clients | Liste | |||
| DescribeConnectClientAddIns | Accorde l'autorisation de récupérer une liste des extensions client Amazon Connect qui ont été créées | Liste | |||
| DescribeConnectionAliasPermissions | Accorde l'autorisation de récupérer les autorisations que les propriétaires d'alias de connexion ont accordées à d'autres AWS comptes pour les alias de connexion | Lecture | |||
| DescribeConnectionAliases | Accorde l'autorisation de récupérer une liste qui décrit les alias de connexion utilisés pour la redirection entre régions. | Lecture | |||
| DescribeImageAssociations | Accorde l'autorisation de récupérer des informations sur les ressources associées à une WorkSpace image | Liste | |||
| DescribeIpGroups | Accorde l'autorisation de récupérer des informations sur les groupes de contrôle d'accès IP. | Lecture | |||
| DescribeTags | Accorde l'autorisation de décrire les balises des WorkSpaces ressources | Lecture | |||
| DescribeWorkspaceAssociations | Accorde l'autorisation de récupérer des informations sur les ressources associées à un WorkSpace | Liste | |||
| DescribeWorkspaceBundles | Accorde l'autorisation d'obtenir des informations sur les WorkSpace offres groupées | Liste | |||
| DescribeWorkspaceDirectories | Accorde l'autorisation de récupérer des informations sur les annuaires enregistrés auprès de WorkSpaces | Lecture | |||
| DescribeWorkspaceImagePermissions | Accorde l'autorisation de récupérer des informations sur les autorisations relatives aux WorkSpace images | Lecture | |||
| DescribeWorkspaceImages | Accorde l'autorisation de récupérer des informations sur les WorkSpace images | Liste | |||
| DescribeWorkspaceSnapshots | Accorde l'autorisation de récupérer des informations sur les WorkSpace instantanés | Liste | |||
| DescribeWorkspaces | Accorde l'autorisation d'obtenir des informations sur WorkSpaces | Liste | |||
| DescribeWorkspacesConnectionStatus | Accorde l'autorisation d'obtenir l'état de connexion de WorkSpaces | Lecture | |||
| DescribeWorkspacesPoolSessions | Accorde l'autorisation de récupérer des informations sur les sessions d'un WorkSpaces pool | Liste | |||
| DescribeWorkspacesPools | Accorde l'autorisation de récupérer des informations sur les WorkSpaces pools | Liste | |||
| DisassociateConnectionAlias | Accorde l'autorisation de dissocier des alias de connexion des répertoires. | Écriture | |||
| DisassociateIpGroups | Accorde l'autorisation de dissocier des groupes de contrôle d'accès IP des répertoires. | Écrire | |||
| DisassociateWorkspaceApplication | Accorde l'autorisation de dissocier une application d'espace de travail d'un WorkSpace | Écrire | |||
| GetAccountLink | Accorde l'autorisation de récupérer un lien avec un autre AWS compte pour partager la configuration pour WorkSpaces BYOL | Lecture | |||
| ImportClientBranding | Autorise l'importation des données de marque du AWS WorkSpaces client dans un annuaire | Écrire | |||
| ImportWorkspaceImage | Autorise l'importation d'images Bring Your Own License (BYOL) sur Amazon WorkSpaces | Écrire |
ec2:DescribeImages ec2:ModifyImageAttribute |
||
| ListAccountLinks | Accorde l'autorisation de récupérer des liens avec le ou les AWS comptes qui partagent votre configuration pour WorkSpaces BYOL | Liste | |||
| ListAvailableManagementCidrRanges | Permet de répertorier les plages CIDR disponibles pour activer la licence BYOL (Bring Your Own License) pour les comptes WorkSpaces | Liste | |||
| MigrateWorkspace | Accorde l'autorisation de migrer WorkSpaces | Écrire | |||
| ModifyAccount | Accorde l'autorisation de modifier la configuration de Bring Your Own License (BYOL) pour les comptes WorkSpaces | Écrire | |||
| ModifyCertificateBasedAuthProperties | Accorde l'autorisation de modifier les propriétés d'autorisation basées sur les certificats d'un répertoire | Écrire | |||
| ModifyClientProperties | Accorde l'autorisation de modifier les propriétés des WorkSpaces clients | Écrire | |||
| ModifySamlProperties | Accorde l'autorisation de modifier les propriétés SAML d'un répertoire | Écrire | |||
| ModifySelfservicePermissions | Autorise vos utilisateurs à modifier les fonctionnalités WorkSpace de gestion en libre-service | Gestion des autorisations | |||
| ModifyStreamingProperties | Accorde l'autorisation de modifier les propriétés de diffusion | Écrire | |||
| ModifyWorkspaceAccessProperties | Accorde l'autorisation de spécifier les appareils et systèmes d'exploitation que les utilisateurs peuvent utiliser pour accéder à leurs WorkSpaces | Écrire | |||
| ModifyWorkspaceCreationProperties | Accorde l'autorisation de modifier les propriétés par défaut utilisées pour créer WorkSpaces | Écrire | |||
| ModifyWorkspaceProperties | Accorde l'autorisation de modifier les WorkSpace propriétés, y compris le mode d'exécution et la AutoStop période | Écrire | |||
| ModifyWorkspaceState | Accorde l'autorisation de modifier l'état de WorkSpaces | Écrire | |||
| RebootWorkspaces | Accorde l'autorisation de redémarrer WorkSpaces | Écrire | |||
| RebuildWorkspaces | Donne l'autorisation de reconstruire WorkSpaces | Écrire | |||
| RegisterWorkspaceDirectory | Accorde l'autorisation d'enregistrer des annuaires à utiliser avec Amazon WorkSpaces | Écrire | |||
| RejectAccountLinkInvitation | Accorde l'autorisation de rejeter les invitations d'autres AWS comptes à partager la même configuration pour WorkSpaces BYOL | Écrire | |||
| RestoreWorkspace | Accorde l'autorisation de restauration WorkSpaces | Écrire | |||
| RevokeIpRules | Accorde l'autorisation de supprimer des règles des groupes de contrôle d'accès IP. | Écrire |
workspaces:UpdateRulesOfIpGroup |
||
| StartWorkspaces | Accorde l'autorisation de démarrer AutoStop WorkSpaces | Écrire | |||
| StartWorkspacesPool | Accorde l'autorisation de démarrer un WorkSpaces pool | Écrire | |||
| StopWorkspaces | Donne l'autorisation d'arrêter AutoStop WorkSpaces | Écrire | |||
| StopWorkspacesPool | Autorise l'arrêt d'un WorkSpaces pool | Écrire | |||
| Stream | Accorde l'autorisation aux utilisateurs fédérés de se connecter à l'aide de leurs informations d'identification existantes et de diffuser leur espace de travail | Écrire | |||
| TerminateWorkspaces | Accorde l'autorisation de résilier WorkSpaces | Écrire | |||
| TerminateWorkspacesPool | Accorde l'autorisation de mettre fin à un WorkSpaces pool | Écrire | |||
| TerminateWorkspacesPoolSession | Accorde l'autorisation de mettre fin à une session de WorkSpaces pool | Écrire | |||
| UpdateConnectClientAddIn | Accorde l'autorisation de mettre à jour une extension client Amazon Connect. Utilisez cette action pour mettre à jour le nom et l'URL du point de terminaison d'une extension client Amazon Connect | Écrire | |||
| UpdateConnectionAliasPermission | Accorde l'autorisation de partager ou d'annuler le partage des alias de connexion avec d'autres comptes. | Gestion des autorisations | |||
| UpdateRulesOfIpGroup | Accorde l'autorisation de remplacer des règles des groupes de contrôle d'accès IP. | Écrire |
workspaces:AuthorizeIpRules workspaces:RevokeIpRules |
||
| UpdateWorkspaceBundle | Accorde l'autorisation de mettre à jour les WorkSpace images utilisées dans les WorkSpace bundles | Écrire | |||
| UpdateWorkspaceImagePermission | Accorde l'autorisation de partager ou d'annuler le partage d' WorkSpace images avec d'autres comptes en spécifiant si les autres comptes sont autorisés à copier l'image | Gestion des autorisations | |||
| UpdateWorkspacesPool | Accorde l'autorisation de mettre à jour le WorkSpaces pool | Écrire |
Types de ressources définis par Amazon WorkSpaces
Ce service définit les types de ressources suivants, qui peuvent être utilisés dans l' Resource élément des déclarations de politique d'autorisation IAM. Chaque action du tableau Actions identifie les types de ressources pouvant être spécifiés avec cette action. Un type de ressource peut également définir les clés de condition que vous pouvez inclure dans une politique. Ces clés sont affichées dans la dernière colonne du tableau. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Types de ressources.
| Types de ressources | ARN | Clés de condition |
|---|---|---|
| directoryid |
arn:${Partition}:workspaces:${Region}:${Account}:directory/${DirectoryId}
|
|
| workspacebundle |
arn:${Partition}:workspaces:${Region}:${Account}:workspacebundle/${BundleId}
|
|
| workspaceid |
arn:${Partition}:workspaces:${Region}:${Account}:workspace/${WorkspaceId}
|
|
| workspaceimage |
arn:${Partition}:workspaces:${Region}:${Account}:workspaceimage/${ImageId}
|
|
| workspaceipgroup |
arn:${Partition}:workspaces:${Region}:${Account}:workspaceipgroup/${GroupId}
|
|
| workspacespoolid |
arn:${Partition}:workspaces:${Region}:${Account}:workspacespool/${PoolId}
|
|
| connectionalias |
arn:${Partition}:workspaces:${Region}:${Account}:connectionalias/${ConnectionAliasId}
|
|
| workspaceapplication |
arn:${Partition}:workspaces:${Region}:${Account}:workspaceapplication/${WorkSpaceApplicationId}
|
Clés de condition pour Amazon WorkSpaces
Amazon WorkSpaces définit les clés de condition suivantes qui peuvent être utilisées dans l'Conditionélément d'une politique IAM. Vous pouvez utiliser ces clés pour affiner les conditions d'application de la déclaration de politique. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Clés de condition.
Pour afficher les clés de condition globales disponibles pour tous les services, consultez Clés de condition globales disponibles.
| Clés de condition | Description | Type |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtre l'accès en fonction des identifications transmises dans la demande | Chaîne |
| aws:ResourceTag/${TagKey} | Filtre l'accès en fonction des identifications associées à la ressource | Chaîne |
| aws:TagKeys | Filtre l'accès en fonction des clés d'identification transmises dans la demande | ArrayOfString |
| workspaces:userId | Filtre l'accès en fonction de l'ID de l'utilisateur Workspaces | Chaîne |
