Politiques gérées par AWS pour WorkSpaces - Amazon WorkSpaces
AmazonWorkSpacesAdminAmazonWorkspacesPCAAccessAmazonWorkSpacesSelfServiceAccessAmazonWorkSpacesServiceAccessMises à jour des politiques gérées par AWS sur les instances WorkSpaces

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Politiques gérées par AWS pour WorkSpaces

L'utilisation de politiques gérées par AWS rend l'ajout d'autorisations à des utilisateurs, à des groupes et à des rôles plus facile que d'écrire vous-même des politiques. Il faut du temps et de l'expertise pour créer des politiques gérées par le client IAM qui ne fournissent aux équipes que les autorisations dont elles ont besoin. Pour démarrer rapidement, vous pouvez utiliser les politiques gérées par AWS. Ces politiques couvrent des cas d'utilisation courants et sont disponibles dans votre compte AWS. Pour plus d'informations sur les politiques gérées AWS, consultez Politiques gérées par AWS dans le Guide de l'utilisateur IAM.

Les services AWS assurent la maintenance et la mise à jour des politiques gérées AWS. Vous ne pouvez pas modifier les autorisations définies dans les politiques gérées par AWS. Les services ajoutent occasionnellement des autorisations à une politique gérée par AWS pour prendre en charge de nouvelles fonctionnalités. Ce type de mise à jour affecte toutes les identités (utilisateurs, groupes et rôles) auxquelles la politique est attachée. Les services sont très susceptibles de mettre à jour une politique gérée par AWS quand une nouvelle fonctionnalité est lancée ou quand de nouvelles opérations sont disponibles. En revanche, ils ne suppriment pas les autorisations d'une politique gérée par AWS, ce qui fait que les mises à jour de politique n'interrompent pas vos autorisations existantes.

En outre, AWS prend en charge des politiques gérées pour des fonctions professionnelles couvrant plusieurs services. Par exemple, la politique ReadOnlyAccess gérée par AWS donne accès en lecture seule à l'ensemble des services et des ressources AWS. Quand un service lance une nouvelle fonctionnalité, AWS ajoute des autorisations en lecture seule pour les nouvelles opérations et ressources. Pour obtenir la liste des politiques de fonctions professionnelles et leurs descriptions, consultez Politiques gérées par AWS pour les fonctions de tâches dans le Guide de l'utilisateur IAM.

Politique gérée par AWS : AmazonWorkSpacesAdmin

Cette politique permet d'accéder aux actions d'administration Amazon WorkSpaces. Elle fournit les autorisations suivantes :

  • workspaces : permet d'effectuer des actions d'administration sur les ressources WorkSpaces.

  • kms : permet d'accéder à la liste et à la description des clés KMS, ainsi qu'à la liste des alias.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:DescribeKey",
                "kms:ListAliases",
                "kms:ListKeys",
                "workspaces:CreateTags",
                "workspaces:CreateWorkspaces",
                "workspaces:CreateWorkspaceImage",
                "workspaces:DeleteTags",
                "workspaces:DescribeTags",
                "workspaces:DescribeWorkspaceBundles",
                "workspaces:DescribeWorkspaceDirectories",
                "workspaces:DescribeWorkspaces",
                "workspaces:DescribeWorkspacesConnectionStatus",
                "workspaces:ModifyCertificateBasedAuthProperties",
                "workspaces:ModifyWorkspaceProperties",
                "workspaces:ModifySamlProperties",
                "workspaces:RebootWorkspaces",
                "workspaces:RebuildWorkspaces",
                "workspaces:RestoreWorkspaces",
                "workspaces:StartWorkspaces",
                "workspaces:StopWorkspaces",
                "workspaces:TerminateWorkspaces"
            ],
            "Resource": "*"
        }
    ]
}

Politique gérée par AWS : AmazonWorkspacePCAAccess

Cette politique gérée permet d'accéder aux ressources de l'autorité de certification privée (CA privée) AWS Certificate Manager de votre compte AWS pour une authentification par certificat. Elle est incluse dans le rôle AmazonWorkspaceSpacesPCAAccess et fournit les autorisations suivantes :

  • acm-pca : permet d'accéder à une CA privée AWS pour gérer l'authentification par certificats.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "acm-pca:IssueCertificate",
        "acm-pca:GetCertificate",
        "acm-pca:DescribeCertificateAuthority"
      ],
      "Resource": "arn:*:acm-pca:*:*:*",
      "Condition": {
        "StringLike": {
          "aws:ResourceTag/euc-private-ca": "*"
        }
      }
    }
  ]
}

Politique gérée par AWS : AmazonWorkspaceSelfServiceAccess

Cette politique donne accès au service Amazon WorkSpaces pour effectuer des actions WorkSpaces en libre-service initiées par un utilisateur. Elle est incluse dans le rôle workspaces_DefaultRole et fournit les autorisations suivantes :

  • workspaces : permet l'accès aux capacités de gestion des instances WorkSpaces en libre-service pour les utilisateurs.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "workspaces:RebootWorkspaces",
                "workspaces:RebuildWorkspaces",
                "workspaces:ModifyWorkspaceProperties"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

Politique gérée parAWS : AmazonWorkSpacesServiceAccess

Cette politique offre au compte client un accès au service Amazon WorkSpaces pour le lancement d'une instance WorkSpace. Elle est incluse dans le rôle workspaces_DefaultRole et fournit les autorisations suivantes :

  • ec2 : permet de gérer les ressources Amazon EC2 associées à une instance WorkSpace, telles que les interfaces réseau.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ec2:CreateNetworkInterface",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeNetworkInterfaces"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

Mises à jour des politiques gérées par AWS sur les instances WorkSpaces

Consultez les informations concernant les mises à jour des politiques gérées par AWS pour les instances WorkSpaces depuis que ce service a commencé à suivre ces modifications.

Modification Description Date
Politique gérée par AWS : AmazonWorkSpacesAdmin – Mise à jour de politique WorkSpaces a ajouté l'action workspaces:RestoreWorkspace à la politique gérée Amazon WorkSpacesAdmin, en accordant aux administrateurs l'accès pour restaurer les instances WorkSpaces. 25 juin 2023
Politique gérée par AWS : AmazonWorkspacePCAAccess - Ajout d'une nouvelle politique WorkSpaces a ajouté une nouvelle politique gérée pour accorder l'autorisation acm-pca de gérer une CA privée AWS afin de gérer l'authentification par certificat. 18 novembre 2022
Début du suivi des modifications par WorkSpaces WorkSpaces a commencé à suivre les modifications apportées aux politiques gérées WorkSpaces. 1er mars 2021