Sécurité - Optimiseur de coûts pour Amazon WorkSpaces

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Sécurité

Lorsque vous créez des systèmes sur l'infrastructure AWS, les responsabilités en matière de sécurité sont partagées entre vous et AWS. Ce modèle partagé peut réduire votre charge opérationnelle car AWS exploite, gère et contrôle les composants, depuis le système d'exploitation hôte et la couche de virtualisation jusqu'à la sécurité physique des installations dans lesquelles les services fonctionnent. Pour plus d'informations sur la sécurité sur AWS, consultez le Centre de sécurité AWS.

Rôles IAM

Cette solution crée des rôles IAM pour contrôler et isoler les autorisations, conformément à la meilleure pratique du moindre privilège. La solution accorde aux services les autorisations suivantes :

Modèle de hub

RegisterSpokeAccountsFunctionLambdaRole

  • Autorisation d'écriture sur la table Amazon DynamoDB où les comptes Spoke sont enregistrés

InvokeECSTaskRole

  • Autorisation de créer et d'exécuter des tâches Amazon ECS

CostOptimizerAdminRole

  • Autorisations de lecture d'une table Amazon DynamoDB dans laquelle les comptes Spoke sont enregistrés

  • Assumer des autorisations de rôle pour WorkspacesManagementRole les comptes in spoke

  • Autorisations en lecture seule pour AWS Directory Service

  • Écrire des autorisations sur Amazon CloudWatch Logs

  • Autorisations d'écriture pour Amazon S3

  • Autorisations de lecture et d'écriture pour WorkSpaces

SolutionHelperRole

  • Autorisation d'invoquer une fonction AWS Lambda pour générer un identifiant unique universel (UUID) pour les métriques de solution

Modèle Spoke

WorkSpacesManagementRole

  • Autorisations en lecture seule pour AWS Directory Service

  • Écrire des autorisations sur Amazon CloudWatch Logs

  • Autorisations d'écriture pour Amazon S3

  • Autorisations de lecture/écriture pour WorkSpaces

AccountRegistrationProviderRole

  • Invoquez la fonction Lambda pour enregistrer un compte Spoke auprès du hub Account Stack