Sécurité - Optimiseur de coûts pour Amazon WorkSpaces

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Sécurité

Lorsque vous créez des systèmes sur une AWS infrastructure, les responsabilités en matière de sécurité sont partagées entre vous etAWS. Ce modèle partagé peut réduire votre charge opérationnelle en AWS exploitant, en gérant et en contrôlant les composants, depuis le système d'exploitation hôte et la couche de virtualisation jusqu'à la sécurité physique des installations dans lesquelles les services fonctionnent. Pour plus d'informations sur la sécuritéAWS, consultez le Centre AWS de sécurité.

IAMrôles

Cette solution crée IAM des rôles pour contrôler et isoler les autorisations, conformément à la meilleure pratique du moindre privilège. La solution accorde aux services les autorisations suivantes :

Modèle de hub

RegisterSpokeAccountsFunctionLambdaRole

  • Autorisation d'écriture sur la table Amazon DynamoDB où les comptes Spoke sont enregistrés

InvokeECSTaskRole

  • Autorisation de créer et d'exécuter ECS des tâches Amazon

CostOptimizerAdminRole

  • Autorisations de lecture d'une table Amazon DynamoDB dans laquelle les comptes Spoke sont enregistrés

  • Assumer des autorisations de rôle pour WorkspacesManagementRole les comptes in spoke

  • Autorisations en lecture seule pour AWS Directory Service

  • Rédiger des autorisations sur Amazon CloudWatch Logs

  • Autorisations d'écriture pour Amazon S3

  • Autorisations de lecture et d'écriture pour WorkSpaces

SolutionHelperRole

  • Autorisation d'invoquer une fonction AWS Lambda pour générer un identifiant unique universel () UUID pour les métriques de solution

Modèle Spoke

WorkSpacesManagementRole

  • Autorisations en lecture seule pour AWS Directory Service

  • Rédiger des autorisations sur Amazon CloudWatch Logs

  • Autorisations d'écriture pour Amazon S3

  • Autorisations de lecture/écriture pour WorkSpaces

AccountRegistrationProviderRole

  • Invoquez la fonction Lambda pour enregistrer un compte Spoke auprès de Hub Account Stack