Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Gestion des identités et des accès pour WorkSpaces
Par défaut, les utilisateurs IAM ne sont pas autorisés à accéder aux WorkSpaces ressources et aux opérations. Pour permettre aux utilisateurs IAM de gérer les WorkSpaces ressources, vous devez créer une stratégie IAM qui leur accorde explicitement des autorisations, et associer cette politique aux utilisateurs ou aux groupes IAM qui ont besoin de ces autorisations.
**Note**
Amazon WorkSpaces ne prend pas en charge le provisionnement d'informations d'identification IAM dans un WorkSpace (comme dans le cas d'un profil d'instance).
Pour activer l’accès, ajoutez des autorisations à vos utilisateurs, groupes ou rôles :
+ Utilisateurs et groupes dans AWS IAM Identity Center :
Créez un jeu d’autorisations. Suivez les instructions de la rubrique [Création d’un jeu d’autorisations](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) du *Guide de l’utilisateur AWS IAM Identity Center *.
+ Utilisateurs gérés dans IAM par un fournisseur d’identité :
Créez un rôle pour la fédération d’identité. Suivez les instructions de la rubrique [Création d’un rôle pour un fournisseur d’identité tiers (fédération)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) dans le *Guide de l’utilisateur IAM*.
+ Utilisateurs IAM :
+ Créez un rôle que votre utilisateur peut assumer. Suivez les instructions de la rubrique [Création d’un rôle pour un utilisateur IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) dans le *Guide de l’utilisateur IAM*.
+ (Non recommandé) Attachez une politique directement à un utilisateur ou ajoutez un utilisateur à un groupe d’utilisateurs. Suivez les instructions de la rubrique [Ajout d’autorisations à un utilisateur (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) du *Guide de l’utilisateur IAM*.
Vous trouverez ci-dessous des ressources supplémentaires pour IAM :
+ Pour plus d'informations sur les politiques IAM, consultez [Politiques et autorisations](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dans le *Guide de l'utilisateur IAM*.
+ Pour plus d'informations sur IAM, consultez [Gestion des identités et des accès (IAM)](https://aws.amazon.com/iam) et le [https://docs.aws.amazon.com/IAM/latest/UserGuide/](https://docs.aws.amazon.com/IAM/latest/UserGuide/).
+ Pour plus d'informations sur les ressources, les actions et les clés contextuelles de condition WorkSpaces spécifiques à utiliser dans les politiques d'autorisation IAM, consultez la section [Actions, ressources et clés de condition pour Amazon WorkSpaces](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonworkspaces.html) dans le guide de l'utilisateur *IAM*.
+ Pour obtenir un outil qui vous aide à créer des politiques IAM, consultez le billet de blog [AWS Policy Generator](https://aws.amazon.com/blogs/aws/aws-policy-generator/). Vous pouvez également utiliser le [simulateur de politiques IAM](https://docs.aws.amazon.com/IAM/latest/UsingPolicySimulatorGuide/) pour tester si une stratégie autorise ou refuse une demande spécifique à AWS.
**Topics**
+ [Exemples de politiques](#workspaces-example-iam-policies)
+ [Spécifier WorkSpaces les ressources dans une politique IAM](#wsp_iam_resource)
+ [Création du rôle workspaces\$1 DefaultRole](#create-default-role)
+ [Création du rôle AmazonWorkSpaces PCAAccess de service](#create-pca-access-role)
+ [AWS politiques gérées pour WorkSpaces](managed-policies.md)
+ [Accès aux instances de streaming WorkSpaces et scripts y afférents](using-iam-roles-to-grant-permissions-to-applications-scripts-streaming-instances.md)
+ [Référence des autorisations relatives aux opérations sur Amazon WorkSpaces Console](wsp-console-permissions-ref.md)
## Exemples de politiques
Les exemples suivants présentent des déclarations de politique que vous pouvez utiliser pour contrôler les autorisations accordées aux utilisateurs d'IAM sur Amazon WorkSpaces.
### Exemple 1 : accorder l'accès pour effectuer des tâches WorkSpaces personnelles et des tâches de groupe
La déclaration de politique suivante accorde à un utilisateur IAM l'autorisation d'effectuer des tâches WorkSpaces personnelles et des tâches de pool.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:*",
"workspaces:*",
"application-autoscaling:DeleteScalingPolicy",
"application-autoscaling:DeleteScheduledAction",
"application-autoscaling:DeregisterScalableTarget",
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"application-autoscaling:PutScalingPolicy",
"application-autoscaling:PutScheduledAction",
"application-autoscaling:RegisterScalableTarget",
"cloudwatch:DeleteAlarms",
"cloudwatch:DescribeAlarms",
"cloudwatch:PutMetricAlarm",
"ec2:AssociateRouteTable",
"ec2:AttachInternetGateway",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateInternetGateway",
"ec2:CreateNetworkInterface",
"ec2:CreateRoute",
"ec2:CreateRouteTable",
"ec2:CreateSecurityGroup",
"ec2:CreateSubnet",
"ec2:CreateTags",
"ec2:CreateVpc",
"ec2:DeleteNetworkInterface",
"ec2:DeleteSecurityGroup",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeInternetGateways",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"iam:AttachRolePolicy",
"iam:CreatePolicy",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:PutRolePolicy",
"kms:ListAliases",
"kms:ListKeys",
"secretsmanager:ListSecrets",
"tag:GetResources",
"sso-directory:SearchUsers",
"sso:CreateApplication",
"sso:DeleteApplication",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:GetApplicationGrant",
"sso:ListInstances",
"sso:PutApplicationAssignmentConfiguration",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "workspaces.amazonaws.com"
}
}
}
]
}
```
------
### Exemple 2 : accorder l'accès pour effectuer des tâches WorkSpaces personnelles
La déclaration de politique suivante accorde à un utilisateur IAM l'autorisation d'effectuer toutes les tâches WorkSpaces personnelles.
Bien qu'Amazon WorkSpaces prenne totalement en charge les `Resource` éléments `Action` et lors de l'utilisation de l'API et des outils de ligne de commande, pour utiliser Amazon WorkSpaces depuis le AWS Management Console, un utilisateur IAM doit disposer des autorisations nécessaires pour les actions et ressources suivantes :
+ Mesures : `"ds:*"`
+ Ressources : `"Resource": "*"`
L'exemple de politique suivant montre comment autoriser un utilisateur IAM à utiliser Amazon WorkSpaces depuis le AWS Management Console.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"workspaces:*",
"ds:*",
"iam:GetRole",
"iam:CreateRole",
"iam:PutRolePolicy",
"iam:CreatePolicy",
"iam:AttachRolePolicy",
"iam:ListRoles",
"kms:ListAliases",
"kms:ListKeys",
"ec2:CreateVpc",
"ec2:CreateSubnet",
"ec2:CreateNetworkInterface",
"ec2:CreateInternetGateway",
"ec2:CreateRouteTable",
"ec2:CreateRoute",
"ec2:CreateTags",
"ec2:CreateSecurityGroup",
"ec2:DescribeInternetGateways",
"ec2:DescribeSecurityGroups",
"ec2:DescribeRouteTables",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeAvailabilityZones",
"ec2:AttachInternetGateway",
"ec2:AssociateRouteTable",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:DeleteSecurityGroup",
"ec2:DeleteNetworkInterface",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"secretsmanager:ListSecrets",
"sso-directory:SearchUsers",
"sso:CreateApplication",
"sso:DeleteApplication",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:GetApplicationGrant",
"sso:ListInstances",
"sso:PutApplicationAssignmentConfiguration",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "workspaces.amazonaws.com"
}
}
}
]
}
```
------
### Exemple 3 : accorder l'accès pour effectuer des tâches liées aux WorkSpaces pools
La déclaration de politique suivante accorde à un utilisateur IAM l'autorisation d'effectuer toutes les tâches du WorkSpaces pool.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"workspaces:*",
"application-autoscaling:DeleteScalingPolicy",
"application-autoscaling:DeleteScheduledAction",
"application-autoscaling:DeregisterScalableTarget",
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"application-autoscaling:PutScalingPolicy",
"application-autoscaling:PutScheduledAction",
"application-autoscaling:RegisterScalableTarget",
"cloudwatch:DeleteAlarms",
"cloudwatch:DescribeAlarms",
"cloudwatch:PutMetricAlarm",
"ec2:CreateSecurityGroup",
"ec2:CreateTags",
"ec2:DescribeInternetGateways",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"iam:AttachRolePolicy",
"iam:CreatePolicy",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:PutRolePolicy",
"secretsmanager:ListSecrets",
"tag:GetResources"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "workspaces.amazonaws.com"
}
}
},
{
"Action": "iam:CreateServiceLinkedRole",
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/aws-service-role/workspaces.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_WorkSpacesPool",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "workspaces.application-autoscaling.amazonaws.com"
}
}
}
]
}
```
------
### Exemple 4 : Exécuter toutes les WorkSpaces tâches pour le BYOL WorkSpaces
La déclaration de politique suivante accorde à un utilisateur IAM l'autorisation d'effectuer toutes les WorkSpaces tâches, y compris les tâches Amazon EC2 nécessaires à la création de la licence Bring Your Own License (BYOL). WorkSpaces
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:*",
"workspaces:*",
"ec2:AssociateRouteTable",
"ec2:AttachInternetGateway",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateInternetGateway",
"ec2:CreateNetworkInterface",
"ec2:CreateRoute",
"ec2:CreateRouteTable",
"ec2:CreateSecurityGroup",
"ec2:CreateSubnet",
"ec2:CreateTags",
"ec2:CreateVpc",
"ec2:DeleteNetworkInterface",
"ec2:DeleteSecurityGroup",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeImages",
"ec2:DescribeInternetGateways",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:ModifyImageAttribute",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"iam:CreateRole",
"iam:GetRole",
"iam:PutRolePolicy",
"kms:ListAliases",
"kms:ListKeys"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "workspaces.amazonaws.com"
}
}
}
]
}
```
------
## Spécifier WorkSpaces les ressources dans une politique IAM
Pour spécifier une WorkSpaces ressource dans l'`Resource`élément de la déclaration de politique, utilisez l'Amazon Resource Name (ARN) de la ressource. Vous contrôlez l'accès à vos WorkSpaces ressources en autorisant ou en refusant les autorisations d'utiliser les actions d'API spécifiées dans l'`Action`élément de votre déclaration de politique IAM. WorkSpaces définit ARNs des ensembles WorkSpaces, des groupes d'adresses IP et des annuaires.
### WorkSpace ARN
La syntaxe d'un WorkSpace ARN est celle illustrée dans l'exemple suivant.
```
arn:aws:workspaces:region:account_id:workspace/workspace_identifier
```
*region*
La région dans laquelle WorkSpace se trouve (par exemple,`us-east-1`).
*account\$1id*
L'identifiant du AWS compte, sans tiret (par exemple,`123456789012`).
*identificateur\$1espace de travail*
L'ID du WorkSpace (par exemple,`ws-a1bcd2efg`).
Voici le format de l'`Resource`élément d'une déclaration de politique qui identifie un élément spécifique WorkSpace.
```
"Resource": "arn:aws:workspaces:region:account_id:workspace/workspace_identifier"
```
Vous pouvez utiliser le `*` caractère générique pour spécifier tout WorkSpaces ce qui appartient à un compte spécifique dans une région spécifique.
### WorkSpace pool ARN
Un ARN de WorkSpace pool possède la syntaxe illustrée dans l'exemple suivant.
```
arn:aws:workspaces:region:account_id:workspacespool/workspacespool_identifier
```
*region*
La région dans laquelle WorkSpace se trouve (par exemple,`us-east-1`).
*account\$1id*
L'identifiant du AWS compte, sans tiret (par exemple,`123456789012`).
*espace de travail pool\$1identifier*
L'ID du WorkSpace pool (par exemple,`ws-a1bcd2efg`).
Voici le format de l'`Resource`élément d'une déclaration de politique qui identifie un élément spécifique WorkSpace.
```
"Resource": "arn:aws:workspaces:region:account_id:workspacespool/workspacespool_identifier"
```
Vous pouvez utiliser le `*` caractère générique pour spécifier tout WorkSpaces ce qui appartient à un compte spécifique dans une région spécifique.
### ARN du certificat
L'ARN d'un WorkSpace certificat possède la syntaxe illustrée dans l'exemple suivant.
```
arn:aws:workspaces:region:account_id:workspacecertificate/workspacecertificateidentifier
```
*region*
La région dans laquelle WorkSpace se trouve (par exemple,`us-east-1`).
*account\$1id*
L'identifiant du AWS compte, sans tiret (par exemple,`123456789012`).
*identificateur de certificat d'espace de travail*
L'ID du WorkSpace certificat (par exemple,`ws-a1bcd2efg`).
Le format de l'`Resource`élément d'une déclaration de politique identifiant un WorkSpace certificat spécifique est le suivant.
```
"Resource": "arn:aws:workspaces:region:account_id:workspacecertificate/workspacecertificate_identifier"
```
Vous pouvez utiliser le `*` caractère générique pour spécifier tout WorkSpaces ce qui appartient à un compte spécifique dans une région spécifique.
### ARN d'image
La syntaxe WorkSpace d'un ARN d'image est celle illustrée dans l'exemple suivant.
```
arn:aws:workspaces:region:account_id:workspaceimage/image_identifier
```
*region*
La région dans laquelle se trouve l' WorkSpace image (par exemple,`us-east-1`).
*account\$1id*
L'identifiant du AWS compte, sans tiret (par exemple,`123456789012`).
*bundle\$1identifier*
L'ID de l' WorkSpace image (par exemple,`wsi-a1bcd2efg`).
Voici le format de l'élément `Resource` d'une déclaration de politique qui identifie une image spécifique.
```
"Resource": "arn:aws:workspaces:region:account_id:workspaceimage/image_identifier"
```
Vous pouvez utiliser le caractère générique `*` pour spécifier toutes les images qui appartiennent à un compte spécifique dans une région donnée.
### ARN de bundle
La syntaxe d'un ARN d'offre est celle de l'exemple suivant.
```
arn:aws:workspaces:region:account_id:workspacebundle/bundle_identifier
```
*region*
La région dans laquelle WorkSpace se trouve (par exemple,`us-east-1`).
*account\$1id*
L'identifiant du AWS compte, sans tiret (par exemple,`123456789012`).
*bundle\$1identifier*
L'ID du WorkSpace bundle (par exemple,`wsb-a1bcd2efg`).
Voici le format de l'élément `Resource` d'une déclaration de stratégie qui identifie un bundle spécifique.
```
"Resource": "arn:aws:workspaces:region:account_id:workspacebundle/bundle_identifier"
```
Vous pouvez utiliser le caractère générique `*` pour spécifier tous les bundles qui appartiennent à un compte spécifique dans une région donnée.
### ARN de groupe d'IP
La syntaxe d'un ARN de groupe IP est celle de l'exemple suivant.
```
arn:aws:workspaces:region:account_id:workspaceipgroup/ipgroup_identifier
```
*region*
La région dans laquelle WorkSpace se trouve (par exemple,`us-east-1`).
*account\$1id*
L'identifiant du AWS compte, sans tiret (par exemple,`123456789012`).
*ipgroup\$1identifier*
ID du groupe d'IP (par exemple, `wsipg-a1bcd2efg`).
Voici le format de l'élément `Resource` d'une déclaration de stratégie qui identifie un groupe d'IP spécifique.
```
"Resource": "arn:aws:workspaces:region:account_id:workspaceipgroup/ipgroup_identifier"
```
Vous pouvez utiliser le caractère générique `*` pour spécifier tous les groupes d'IP qui appartiennent à un compte spécifique dans une région donnée.
### ARN d'annuaire
La syntaxe d'un ARN d'annuaire est celle de l'exemple suivant.
```
arn:aws:workspaces:region:account_id:directory/directory_identifier
```
*region*
La région dans laquelle WorkSpace se trouve (par exemple,`us-east-1`).
*account\$1id*
L'identifiant du AWS compte, sans tiret (par exemple,`123456789012`).
*directory\$1identifier*
ID de l'annuaire (par exemple, `d-12345a67b8`).
Voici le format de l'élément `Resource` d'une déclaration de stratégie qui identifie un annuaire spécifique.
```
"Resource": "arn:aws:workspaces:region:account_id:directory/directory_identifier"
```
Vous pouvez utiliser le caractère générique `*` pour spécifier tous les annuaires qui appartiennent à un compte spécifique dans une région donnée.
### ARN d'alias de connexion
La syntaxe d'un ARN d'alias de connexion est celle de l'exemple suivant.
```
arn:aws:workspaces:region:account_id:connectionalias/connectionalias_identifier
```
*region*
Région dans laquelle se trouve l'alias de connexion (par exemple,`us-east-1`).
*account\$1id*
L'identifiant du AWS compte, sans tiret (par exemple,`123456789012`).
*connectionalias\$1identifier*
ID de l'alias de connexion (par exemple,`wsca-12345a67b8`).
Voici le format de l'élément `Resource` d'une déclaration de politique qui identifie un alias de connexion spécifique.
```
"Resource": "arn:aws:workspaces:region:account_id:connectionalias/connectionalias_identifier"
```
Vous pouvez utiliser le caractère générique `*` pour spécifier tous les alias de connexion qui appartiennent à un compte spécifique dans une région donnée.
### Actions d'API sans aucune prise en charge des autorisations au niveau des ressources
Vous ne pouvez pas spécifier un ARN de ressource avec les actions d'API suivantes :
+ `AssociateIpGroups`
+ `CreateIpGroup`
+ `CreateTags`
+ `DeleteTags`
+ `DeleteWorkspaceImage`
+ `DescribeAccount`
+ `DescribeAccountModifications`
+ `DescribeIpGroups`
+ `DescribeTags`
+ `DescribeWorkspaceDirectories`
+ `DescribeWorkspaceImages`
+ `DescribeWorkspaces`
+ `DescribeWorkspacesConnectionStatus`
+ `DisassociateIpGroups`
+ `ImportWorkspaceImage`
+ `ListAvailableManagementCidrRanges`
+ `ModifyAccount`
Pour les actions d'API qui ne prennent pas en charge les autorisations au niveau des ressources, vous devez spécifier l'instruction de ressource indiquée dans l'exemple suivant.
```
"Resource": "*"
```
### Actions d'API qui ne prennent pas en charge les restrictions au niveau du compte sur les ressources partagées
Pour les actions d'API suivantes, vous ne pouvez pas spécifier d'ID de compte dans l'ARN de ressources qui n'appartiennent pas au compte :
+ `AssociateConnectionAlias`
+ `CopyWorkspaceImage`
+ `DisassociateConnectionAlias`
Pour ces actions d'API, vous pouvez spécifier un ID de compte dans l'ARN uniquement lorsque ce compte possède les ressources sur lesquelles agir. Lorsque le compte ne possède pas les ressources, vous devez spécifier `*` pour l'ID du compte, comme l'illustre l'exemple suivant.
```
"arn:aws:workspaces:region:*:resource_type/resource_identifier"
```
## Création du rôle workspaces\$1 DefaultRole
Avant de pouvoir enregistrer un annuaire à l'aide de l'API, vous devez vérifier qu'il existe un rôle nommé `workspaces_DefaultRole`. Ce rôle est créé lors de la configuration rapide ou si vous lancez un WorkSpace en utilisant le AWS Management Console, et il WorkSpaces autorise Amazon à accéder à des AWS ressources spécifiques en votre nom. Si ce rôle n'existe pas, vous pouvez le créer à l'aide de la procédure suivante.
**Pour créer le rôle workspaces\$1 DefaultRole**
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le panneau de navigation de gauche, sélectionnez **Roles** (Rôles).
1. Sélectionnez **Create role** (Créer un rôle).
1. Sous **Sélectionner un type d'entité de confiance**, choisissez **Autre compte AWS **.
1. Pour **Account ID (ID de compte)**, saisissez votre ID de compte sans tirets ni espaces.
1. Pour **Options**, ne spécifiez pas l'authentification multi-facteurs (MFA).
1. Sélectionnez **Next: Permissions** (Étape suivante : autorisations).
1. Sur la page **Joindre les politiques d'autorisation**, sélectionnez les politiques AWS gérées **AmazonWorkSpacesServiceAccess**AmazonWorkSpacesSelfServiceAccess****, et **AmazonWorkSpacesPoolServiceAccess**. Pour plus d'informations sur ces politiques gérées, consultez[AWS politiques gérées pour WorkSpaces](managed-policies.md).
1. Sous **Définir une limite d'autorisations**, nous vous recommandons de ne pas utiliser de limite d'autorisations en raison du risque de conflits avec les stratégies attachées à ce rôle. De tels conflits pourraient bloquer certaines autorisations nécessaires pour le rôle.
1. Choisissez **Suivant : Balises**.
1. Dans la page **Add tags (optional) (Ajouter des balises (facultatif))**, ajoutez des balises si nécessaire.
1. Choisissez **Suivant : Vérification**.
1. Sur la page **Vérification**, pour **Nom du rôle**, saisissez **workspaces\$1DefaultRole**.
1. (Facultatif) Pour **Role description (Description du rôle)**, entrez une description.
1. Choisissez **Create Role** (Créer un rôle).
1. Sur la page **Résumé** du DefaultRole rôle workspaces\$1, choisissez l'onglet Relations de **confiance**.
1. Dans l'onglet **Trust relationships** (Relations d'approbation), choisissez **Edit trust relationship** (Modifier la relation d'approbation).
1. Dans la page **Edit Trust Relationship (Modifier la relation d'approbation)** remplacez la déclaration de stratégie existante par la déclaration suivante.
```
{
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "workspaces.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
1. Choisissez **Mettre à jour la politique d'approbation**.
## Création du rôle AmazonWorkSpaces PCAAccess de service
Avant que les utilisateurs puissent se connecter via l'authentification basée sur des certificats, vous devez vérifier qu'il existe un rôle nommé `AmazonWorkSpacesPCAAccess`. Ce rôle est créé lorsque vous activez l'authentification basée sur des certificats sur un annuaire à l'aide du AWS Management Console, et il accorde à Amazon WorkSpaces l'autorisation d'accéder aux AWS CA privée ressources en votre nom. Si ce rôle n'existe pas parce que vous n'utilisez pas la console pour gérer l'authentification basée sur des certificats, vous pouvez le créer à l'aide de la procédure suivante.
**Pour créer le rôle de AmazonWorkSpaces PCAAccess service à l'aide du AWS CLI**
1. Créez un fichier JSON nommé `AmazonWorkSpacesPCAAccess.json` avec le texte suivant.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "prod.euc.ecm.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Ajustez le `AmazonWorkSpacesPCAAccess.json` chemin selon vos besoins et exécutez les AWS CLI commandes suivantes pour créer le rôle de service et associer la politique [AmazonWorkspacesPCAAccess](managed-policies.md#workspaces-pca-access)gérée.
```
aws iam create-role --path /service-role/ --role-name AmazonWorkSpacesPCAAccess --assume-role-policy-document file://AmazonWorkSpacesPCAAccess.json
```
```
aws iam attach-role-policy —role-name AmazonWorkSpacesPCAAccess —policy-arn arn:aws:iam::aws:policy/AmazonWorkspacesPCAAccess
```
# AWS politiques gérées pour WorkSpaces
L'utilisation de politiques AWS gérées permet d'ajouter des autorisations aux utilisateurs, aux groupes et aux rôles plus facilement que de rédiger vous-même des politiques. Il faut du temps et de l'expertise pour créer des [politiques gérées par le client IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) qui ne fournissent aux équipes que les autorisations dont elles ont besoin. Utilisez des politiques AWS gérées pour démarrer rapidement. Ces politiques couvrent les cas d'utilisation courants et sont disponibles dans votre AWS compte. Pour plus d'informations sur les politiques AWS gérées, voir les [politiques AWS gérées](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dans le *guide de l'utilisateur IAM*.
AWS les services maintiennent et mettent à jour les politiques AWS gérées. Vous ne pouvez pas modifier les autorisations dans les politiques AWS gérées. Les services peuvent parfois ajouter des autorisations supplémentaires à une politique AWS gérée pour prendre en charge de nouvelles fonctionnalités. Ce type de mise à jour affecte toutes les identités (utilisateurs, groupes et rôles) auxquelles la politique est attachée. Les services sont plus susceptibles de mettre à jour une politique AWS gérée lorsqu'une nouvelle fonctionnalité est lancée ou lorsque de nouvelles opérations sont disponibles. Les services ne suppriment pas les autorisations d'une politique AWS gérée. Les mises à jour des politiques n'endommageront donc pas vos autorisations existantes.
En outre, AWS prend en charge les politiques gérées pour les fonctions professionnelles qui couvrent plusieurs services. Par exemple, la politique `ReadOnlyAccess` AWS gérée fournit un accès en lecture seule à tous les AWS services et ressources. Quand un service lance une nouvelle fonctionnalité, AWS ajoute des autorisations en lecture seule pour les nouvelles opérations et ressources. Pour obtenir la liste des politiques de fonctions professionnelles et leurs descriptions, consultez la page [politiques gérées par AWS pour les fonctions de tâche](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dans le *Guide de l’utilisateur IAM*.
## AWS politique gérée : AmazonWorkSpacesAdmin
**Note**
Les autorisations répertoriées concernent uniquement le SDK et ne fonctionneront pas pour la console. La console nécessite des autorisations supplémentaires répertoriées dans la [référence des autorisations relatives aux opérations de WorkSpaces la console Amazon](wsp-console-permissions-ref.md).
Cette politique donne accès aux actions WorkSpaces administratives d'Amazon. Elle fournit les autorisations suivantes :
+ `workspaces`- Permet d'accéder aux ressources WorkSpaces personnelles et aux ressources des WorkSpaces pools pour effectuer des actions administratives.
+ `kms` : permet d'accéder à la liste et à la description des clés KMS, ainsi qu'à la liste des alias.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonWorkSpacesAdmin",
"Effect": "Allow",
"Action": [
"kms:DescribeKey",
"kms:ListAliases",
"kms:ListKeys",
"workspaces:CreateTags",
"workspaces:CreateWorkspaceImage",
"workspaces:CreateWorkspaces",
"workspaces:CreateWorkspacesPool",
"workspaces:CreateStandbyWorkspaces",
"workspaces:DeleteTags",
"workspaces:DeregisterWorkspaceDirectory",
"workspaces:DescribeTags",
"workspaces:DescribeWorkspaceBundles",
"workspaces:DescribeWorkspaceDirectories",
"workspaces:DescribeWorkspaces",
"workspaces:DescribeWorkspacesPools",
"workspaces:DescribeWorkspacesPoolSessions",
"workspaces:DescribeWorkspacesConnectionStatus",
"workspaces:ModifyCertificateBasedAuthProperties",
"workspaces:ModifySamlProperties",
"workspaces:ModifyStreamingProperties",
"workspaces:ModifyWorkspaceCreationProperties",
"workspaces:ModifyWorkspaceProperties",
"workspaces:RebootWorkspaces",
"workspaces:RebuildWorkspaces",
"workspaces:RegisterWorkspaceDirectory",
"workspaces:RestoreWorkspace",
"workspaces:StartWorkspaces",
"workspaces:StartWorkspacesPool",
"workspaces:StopWorkspaces",
"workspaces:StopWorkspacesPool",
"workspaces:TerminateWorkspaces",
"workspaces:TerminateWorkspacesPool",
"workspaces:TerminateWorkspacesPoolSession",
"workspaces:UpdateWorkspacesPool"
],
"Resource": "*"
}
]
}
```
------
## AWS politique gérée : AmazonWorkspaces PCAAccess
Cette politique gérée permet d'accéder aux AWS ressources de l'autorité de certification privée (Private CA) de votre AWS compte pour une authentification basée sur des certificats. Il est inclus dans le AmazonWorkSpaces PCAAccess rôle et fournit les autorisations suivantes :
+ `acm-pca`- Permet d'accéder à AWS une autorité de certification privée pour gérer l'authentification basée sur des certificats.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"acm-pca:IssueCertificate",
"acm-pca:GetCertificate",
"acm-pca:DescribeCertificateAuthority"
],
"Resource": "arn:*:acm-pca:*:*:*",
"Condition": {
"StringLike": {
"aws:ResourceTag/euc-private-ca": "*"
}
}
}
]
}
```
------
## AWS politique gérée : AmazonWorkSpacesSelfServiceAccess
Cette politique donne accès au WorkSpaces service Amazon pour effectuer des actions en WorkSpaces libre-service initiées par un utilisateur. Elle est incluse dans le rôle `workspaces_DefaultRole` et fournit les autorisations suivantes :
+ `workspaces`- Permet aux utilisateurs d'accéder aux fonctionnalités WorkSpaces de gestion en libre-service.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"workspaces:RebootWorkspaces",
"workspaces:RebuildWorkspaces",
"workspaces:ModifyWorkspaceProperties"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## AWS politique gérée : AmazonWorkSpacesServiceAccess
Cette politique permet au compte client d'accéder au WorkSpaces service Amazon pour le lancement d'un WorkSpace. Elle est incluse dans le rôle `workspaces_DefaultRole` et fournit les autorisations suivantes :
+ `ec2`- Permet d'accéder à la gestion des ressources Amazon EC2 associées à un WorkSpace, telles que les interfaces réseau.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface",
"ec2:DescribeNetworkInterfaces"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## AWS politique gérée : AmazonWorkSpacesPoolServiceAccess
Cette politique est utilisée dans le workspaces\$1DefaultRole, qui WorkSpaces permet d'accéder aux ressources requises dans le AWS compte client de Pools. WorkSpaces Pour de plus amples informations, veuillez consulter [Création du rôle workspaces\$1 DefaultRole](workspaces-access-control.md#create-default-role). Elle fournit les autorisations suivantes :
+ `ec2`- Permet de gérer les ressources Amazon EC2 associées à un WorkSpaces pool, telles que VPCs les sous-réseaux, les zones de disponibilité, les groupes de sécurité et les tables de routage.
+ `s3`- Permet d'accéder aux compartiments Amazon S3 pour effectuer des actions requises pour les journaux, les paramètres de l'application et la fonctionnalité Home Folder.
------
#### [ Commercial Régions AWS ]
La politique JSON suivante s'applique à la publicité Régions AWS.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ProvisioningWorkSpacesPoolPermissions",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSecurityGroups",
"ec2:DescribeRouteTables",
"s3:ListAllMyBuckets"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "WorkSpacesPoolS3Permissions",
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:ListBucket",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetObjectVersion",
"s3:DeleteObjectVersion",
"s3:GetBucketPolicy",
"s3:PutBucketPolicy",
"s3:PutEncryptionConfiguration"
],
"Resource": [
"arn:aws:s3:::wspool-logs-*",
"arn:aws:s3:::wspool-app-settings-*",
"arn:aws:s3:::wspool-home-folder-*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
------
#### [ AWS GovCloud (US) Regions ]
La politique JSON suivante s'applique à la publicité AWS GovCloud (US) Regions.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ProvisioningWorkSpacesPoolPermissions",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSecurityGroups",
"ec2:DescribeRouteTables",
"s3:ListAllMyBuckets"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "WorkSpacesPoolS3Permissions",
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:ListBucket",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetObjectVersion",
"s3:DeleteObjectVersion",
"s3:GetBucketPolicy",
"s3:PutBucketPolicy",
"s3:PutEncryptionConfiguration"
],
"Resource": [
"arn:aws-us-gov:s3:::wspool-logs-*",
"arn:aws-us-gov:s3:::wspool-app-settings-*",
"arn:aws-us-gov:s3:::wspool-home-folder-*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
------
## WorkSpaces mises à jour des politiques AWS gérées
Consultez les détails des mises à jour des politiques AWS gérées WorkSpaces depuis que ce service a commencé à suivre ces modifications.
| Modifier | Description | Date |
| --- | --- | --- |
| [AWS politique gérée : AmazonWorkSpacesPoolServiceAccess](#workspaces-pools-service-access) - Ajout d'une nouvelle politique | WorkSpaces a ajouté une nouvelle politique gérée pour autoriser l'accès à Amazon EC2 VPCs et aux ressources associées, ainsi que pour afficher et gérer les compartiments Amazon S3 pour les pools. WorkSpaces | 24 juin 2024 |
| [AWS politique gérée : AmazonWorkSpacesAdmin](#workspaces-admin) – Mise à jour de politique | WorkSpaces a ajouté plusieurs actions pour les WorkSpaces pools à la politique WorkSpacesAdmin gérée par Amazon, accordant aux administrateurs l'accès à la gestion des ressources du WorkSpace pool. | 24 juin 2024 |
| [AWS politique gérée : AmazonWorkSpacesAdmin](#workspaces-admin) – Mise à jour de politique | WorkSpaces a ajouté l'workspaces:RestoreWorkspaceaction à la politique WorkSpacesAdmin gérée par Amazon, en accordant aux administrateurs l'accès à la restauration. WorkSpaces | 25 juin 2023 |
| [AWS politique gérée : AmazonWorkspaces PCAAccess](#workspaces-pca-access) - Ajout d'une nouvelle politique | WorkSpaces a ajouté une nouvelle politique gérée pour accorder l'acm-pcaautorisation de gérer une autorité de certification AWS privée afin de gérer l'authentification basée sur des certificats. | 18 novembre 2022 |
| WorkSpaces a commencé à suivre les modifications | WorkSpaces a commencé à suivre les modifications apportées WorkSpaces à ses politiques gérées. | 1er mars 2021 |
# Accès aux instances de streaming WorkSpaces et scripts y afférents
Les applications et les scripts qui s'exécutent sur des instances de WorkSpaces streaming doivent inclure des AWS informations d'identification dans leurs demandes AWS d'API. Vous pouvez créer un rôle IAM pour gérer ces informations d’identification. Un rôle IAM spécifie un ensemble d'autorisations que vous pouvez utiliser pour accéder aux AWS ressources. Toutefois, ce rôle n'est pas associé de façon unique à une seule personne. Au lieu de cela, il peut être assumé par toute personne en ayant besoin.
Vous pouvez appliquer un rôle IAM à une instance de WorkSpaces streaming. Lorsque l'instance de streaming bascule vers (assume) le rôle, le rôle fournit des informations d'identification de sécurité temporaires. Votre application ou vos scripts utilisent ces informations d'identification pour effectuer des actions d'API et des tâches de gestion sur l'instance de streaming. WorkSpaces gère pour vous le changement d'identifiant temporaire.
**Topics**
+ [Bonnes pratiques d'utilisation des rôles IAM avec des instances de WorkSpaces streaming](#best-practices-for-using-iam-role-with-streaming-instances)
+ [Configuration d'un rôle IAM existant à utiliser avec des instances de WorkSpaces streaming](#configuring-existing-iam-role-to-use-with-streaming-instances)
+ [Comment créer un rôle IAM à utiliser avec les instances de WorkSpaces streaming](#how-to-create-iam-role-to-use-with-streaming-instances)
+ [Comment utiliser le rôle IAM avec les instances de WorkSpaces streaming](#how-to-use-iam-role-with-streaming-instances)
## Bonnes pratiques d'utilisation des rôles IAM avec des instances de WorkSpaces streaming
Lorsque vous utilisez des rôles IAM avec des instances de WorkSpaces streaming, nous vous recommandons de suivre les pratiques suivantes :
+ Limitez les autorisations que vous accordez aux actions et aux ressources de l'AWSAPI.
Respectez le principe du moindre privilège lorsque vous créez et associez des politiques IAM aux rôles IAM associés aux instances de WorkSpaces streaming. Lorsque vous utilisez une application ou un script qui nécessite l'accès aux actions ou aux ressources de l'AWSAPI, déterminez les actions et les ressources spécifiques requises. Ensuite, créez des politiques qui autorisent l’application ou le script à effectuer uniquement ces actions. Pour plus d’informations, consultez [Octroi du moindre privilège](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) dans le *Guide de l’utilisateur IAM*.
+ Créez un rôle IAM pour chaque WorkSpaces ressource.
La création d'un rôle IAM unique pour chaque WorkSpaces ressource est une pratique qui respecte le principe du moindre privilège. Cela vous permet également de modifier les autorisations pour une ressource sans affecter les autres ressources.
+ Limitez les endroits où les informations d’identification peuvent être utilisées.
Les politiques IAM vous permettent de définir les conditions dans lesquelles votre rôle IAM peut être utilisé pour accéder à une ressource. Par exemple, vous pouvez inclure des conditions pour spécifier une plage d'adresses IP d'où peuvent parvenir les requêtes. Cela permet d’éviter que les informations d’identification soient utilisées en dehors de votre environnement. Pour plus d’informations, consultez [Utiliser les conditions des stratégies pour une plus grande sécurité](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#use-policy-conditions) dans le *Guide de l’utilisateur IAM*.
## Configuration d'un rôle IAM existant à utiliser avec des instances de WorkSpaces streaming
Cette rubrique décrit comment configurer un rôle IAM existant afin de pouvoir l'utiliser avec WorkSpaces .
**Conditions préalables**
Le rôle IAM que vous souhaitez utiliser WorkSpaces doit répondre aux conditions préalables suivantes :
+ Le rôle IAM doit figurer sur le même compte Amazon Web Services que l'instance de WorkSpaces streaming.
+ Le rôle IAM ne peut pas être une fonction du service.
+ La politique de relation de confiance attachée au rôle IAM doit inclure le WorkSpaces service en tant que principal. Un *mandant* est une entité AWS qui peut effectuer des actions et accéder à des ressources. La stratégie doit également inclure l'action `sts:AssumeRole`. Cette configuration de politique est définie WorkSpaces comme une entité de confiance.
+ Si vous appliquez le rôle IAM à WorkSpaces, vous WorkSpaces devez exécuter une version de l' WorkSpaces agent publiée le 3 septembre 2019 ou après cette date. Si vous appliquez le rôle IAM à WorkSpaces, vous WorkSpaces devez utiliser une image utilisant une version de l'agent publiée à la même date ou après cette date.
**Pour permettre au directeur du WorkSpaces service d'assumer un rôle IAM existant**
Pour effectuer les étapes suivantes, vous devez vous connecter au compte en tant qu’utilisateur IAM disposant des autorisations requises pour répertorier et mettre à jour les rôles IAM. Si vous n’avez pas les autorisations requises, demandez à votre administrateur de compte Amazon Web Services d’effectuer ces étapes dans votre compte ou de vous accorder les autorisations requises.
1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Dans le panneau de navigation, choisissez **Rôles**.
1. Dans la liste des rôles de votre compte, choisissez le nom du rôle que vous souhaitez modifier.
1. Sélectionnez l'onglet **Relations d'approbation**, puis **Modifier la relation d'approbation**.
1. Sous **Document de stratégie**, vérifiez que la stratégie de relation d’approbation inclut l’action `sts:AssumeRole` pour le principal du service `workspaces.amazonaws.com` :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"workspaces.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Après avoir modifié votre politique d'approbation, choisissez **Mettre à jour la politique de confiance** pour enregistrer vos modifications.
1. Le rôle IAM que vous avez sélectionné s'affichera dans la WorkSpaces console. Ce rôle accorde des autorisations aux applications et aux scripts pour effectuer des actions d'API et des tâches de gestion sur les instances de streaming.
## Comment créer un rôle IAM à utiliser avec les instances de WorkSpaces streaming
Cette rubrique explique comment créer un nouveau rôle IAM afin de pouvoir l'utiliser avec WorkSpaces
1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Dans le volet de navigation, sélectionnez **Rôles**, puis **Créer un rôle**.
1. Pour **Select type of trusted entity (Sélectionner le type d’entité de confiance)**, choisissez **Service AWS**.
1. Dans la liste des AWS services, sélectionnez **WorkSpaces**.
1. Sous **Sélectionnez votre cas d'utilisation**, WorkSpaces l'option « ** WorkSpaces Autoriser les instances à appeler AWS des services en votre nom** » est déjà sélectionnée. Choisissez **Suivant : Autorisations**.
1. Si possible, sélectionnez la politique à utiliser pour la politique d'autorisations ou choisissez **Create policy** (Créer une politique) pour ouvrir un nouvel onglet de navigateur et créer une nouvelle politique de bout en bout. Pour plus d’informations, consultez l’étape 4 de la procédure [Création de politiques IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start) dans le *Guide de l’utilisateur IAM*.
Une fois la politique créée, fermez cet onglet et revenez à l'onglet initial. Cochez la case à côté des politiques d'autorisation que vous WorkSpaces souhaitez avoir.
1. (Facultatif) Définissez une limite d'autorisations. Il s’agit d’une fonctionnalité avancée disponible pour les fonctions de service, mais pas pour les rôles liés à un service. Pour plus d’informations, consultez [Limites d’autorisations pour les entités IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dans le *Guide de l’utilisateur IAM*.
1. Choisissez **Suivant : Balises**. Vous pouvez éventuellement joindre des balises en tant que paires clé-valeur. Pour plus d’informations, consultez [Balisage des utilisateurs et des rôles IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) dans le *Guide de l’utilisateur IAM*.
1. Choisissez **Suivant : Vérification**.
1. Pour **Nom du rôle**, saisissez un nom de rôle unique dans votre compte Amazon Web Services. Comme d'autres AWS ressources peuvent faire référence au rôle, vous ne pouvez pas modifier le nom du rôle une fois celui-ci créé.
1. Pour **Description du rôle**, conservez la description du rôle par défaut ou saisissez une nouvelle description.
1. Passez en revue les informations du rôle, puis choisissez **Create role** (Créer un rôle).
## Comment utiliser le rôle IAM avec les instances de WorkSpaces streaming
Après avoir créé un rôle IAM, vous pouvez l'appliquer WorkSpaces lors du lancement WorkSpaces. Vous pouvez également appliquer un rôle IAM à un rôle existant WorkSpaces.
Lorsque vous appliquez un rôle IAM à WorkSpaces, WorkSpaces récupère les informations d'identification temporaires et créez le profil d'identification **workspaces\$1machine\$1role** sur l'instance. Les informations d’identification temporaires sont valides pendant 1 heure et de nouvelles informations d’identification sont récupérées toutes les heures. Les informations d'identification précédentes n'expirent pas. Vous pouvez donc les utiliser aussi longtemps qu'elles sont valides. Vous pouvez utiliser le profil d'identification pour appeler AWS des services par programmation à l'aide de l'interface de ligne de AWS commande (AWSCLI) PowerShell, AWS des outils ou du AWS SDK dans la langue de votre choix.
Lorsque vous effectuez les appels d'API, spécifiez **workspaces\$1machine\$1role comme profil** d'identification. Sinon, l'opération échoue en raison d'autorisations insuffisantes.
WorkSpaces assume le rôle spécifié pendant le provisionnement de l'instance de streaming. Dans la WorkSpaces mesure où il utilise l'interface réseau élastique attachée à votre VPC pour les appels d'AWSAPI, votre application ou votre script doit attendre que l'Elastic network interface soit disponible avant de passer des appels d'AWSAPI. Si des appels d'API sont effectués avant que l'interface réseau Elastic soit disponible, les appels échouent.
Les exemples suivants montrent comment utiliser le profil d'identification **workspaces\$1machine\$1role** pour décrire les instances de streaming (EC2 instances) et pour créer le client Boto. Boto est le kit SDK Amazon Web Services (AWS) pour Python.
**Décrire les instances de streaming (EC2 instances) à l'aide de la AWS CLI**
```
aws ec2 describe-instances --region us-east-1 --profile workspaces_machine_role
```
**Décrire les instances de streaming (EC2 instances) à l'aide d'AWSoutils pour PowerShell**
Vous devez utiliser AWS Tools pour PowerShell la version 3.3.563.1 ou ultérieure, avec le SDK Amazon Web Services pour .NET version 3.3.103.22 ou ultérieure. Vous pouvez télécharger le programme d'installation de AWS Tools for Windows, qui inclut AWS Tools for PowerShell et le SDK Amazon Web Services pour .NET, depuis [AWSle site Web Tools PowerShell](https://aws.amazon.com/powershell/) for.
```
Get-EC2Instance -Region us-east-1 -ProfileName workspaces_machine_role
```
**Création du client Boto à l'aide du AWS SDK pour Python**
```
session = boto3.Session(profile_name=workspaces_machine_role')
```
# Référence des autorisations relatives aux opérations sur Amazon WorkSpaces Console
Certains Amazon ne WorkSpaces APIs peuvent être appelés que via la console AWS de gestion. Ils ne sont pas publics APIs, dans le sens où ils ne peuvent pas être appelés par programmation, et ils ne sont fournis par aucun SDK. Ces opérations d'API incluent :
+ espaces de travail : DirectoryAccessManagement
+ espaces de travail : CreateRootClientCertificate
+ espaces de travail : UpdateRootClientCertificate
+ espaces de travail : DeleteRootClientCertificate
+ espaces de travail : DescribeConsent
+ espaces de travail : UpdateConsent
## WorkSpaces Opérations de console et autorisations requises pour les actions
La console utilise des actions d'API supplémentaires pour ses fonctionnalités, de sorte que les autorisations accordées au WorkSpaces public APIs peuvent ne pas être suffisantes. Par exemple, un utilisateur autorisé à utiliser l'[CreateWorkspaces](https://docs.aws.amazon.com/workspaces/latest/api/API_CreateWorkspaces.html)API CLI/SDK peut rencontrer des erreurs lorsqu'il essaie d'en créer une WorkSpace sur la console, car il ne dispose pas de certaines autorisations pour sélectionner ou créer des utilisateurs. Ce tableau répertorie les fonctionnalités uniquement disponibles sur la WorkSpaces console et les autorisations supplémentaires requises pour permettre aux utilisateurs de travailler avec ces parties spécifiques de la console.
La section [Exemples de politiques](https://docs.aws.amazon.com/workspaces/latest/adminguide/workspaces-access-control.html#workspaces-example-iam-policies) fournit la liste des autorisations permettant d'effectuer toutes les WorkSpaces tâches pour Personal, Pools et BYOL WorkSpaces.
Vous pouvez également utiliser des autorisations granulaires pour appliquer des autorisations de moindre privilège afin d'effectuer une tâche.
Ce tableau répertorie les fonctionnalités de la WorkSpaces console qui s'appuient sur APIs celles qui ne sont pas fournies par le SDK et les autorisations requises pour permettre aux utilisateurs de travailler avec ces parties spécifiques de la console. Ces autorisations doivent être ajoutées en plus des autres actions APIs requises par le SDK.
| WorkSpaces Opérations sur console | Autorisations requises |
| --- | --- |
| [WorkSpaces Configuration rapide personnalisée](https://docs.aws.amazon.com/workspaces/latest/adminguide/managing-wsp-personal.html#getting-started) | espaces de travail : DirectoryAccessManagement Annonces : \$1 EC2 : CreateVpc EC2 : CreateSubnet EC2 : CreateNetworkInterface EC2 : CreateInternetGateway EC2 : CreateRouteTable EC2 : CreateRoute EC2 : CreateTags EC2 : CreateSecurityGroup EC2 : DescribeInternetGateways EC2 : DescribeSecurityGroups EC2 : DescribeRouteTables EC2 : DescribeVpcs EC2 : DescribeSubnets EC2 : DescribeNetworkInterfaces EC2 : DescribeAvailabilityZones EC2 : AttachInternetGateway EC2 : AssociateRouteTable EC2 : AuthorizeSecurityGroupIngress EC2 : AuthorizeSecurityGroupEgress iam : CreateRole iam : GetRole iam : PutRolePolicy espaces de travail : DescribeAccount espaces de travail : DescribeWorkspaceDirectories espaces de travail : CreateWorkspaces espaces de travail : DescribeWorkspaces espaces de travail : RegisterWorkspaceDirectory espaces de travail : DescribeWorkspaceBundles espaces de travail : DescribeWorkspaces |
| [Restreindre l'accès aux appareils sécurisés pour les WorkSpaces particuliers](https://docs.aws.amazon.com/workspaces/latest/adminguide/trusted-devices.html#configure-restriction) | espaces de travail : CreateRootClientCertificate espaces de travail : UpdateRootClientCertificate espaces de travail : DeleteRootClientCertificate annonces : DescribeDirectories EC2 : DescribeSubnets EC2 : DescribeSecurityGroups espaces de travail : DescribeAccount espaces de travail : DescribeWorkspaceDirectories espaces de travail : DescribeTags espaces de travail : DescribeClientProperties espaces de travail : DescribeConnectClientAddins espaces de travail : DirectoryAccessManagement |
| [Création d'un annuaire WorkSpace dans WorkSpaces Personal on the Console](https://docs.aws.amazon.com/workspaces/latest/adminguide/create-workspaces-personal.html) — To create/search/describe Directory Service | espaces de travail : DirectoryAccessManagement espaces de travail : DescribeAccount espaces de travail : CreateWorkspaces espaces de travail : DescribeWorkspaces espaces de travail : DescribeWorkspaceDirectories espaces de travail : DescribeWorkspaceBundles espaces de travail : DescribeTags espaces de travail : CreateTags espaces de travail : DescribeClientProperties km : ListKeys km : ListAliases km : DescribeKey annonces : DescribeTrusts annonces : DescribeDirectories EC2 : DescribeSubnets EC2 : DescribeSecurityGroups |
| [Gérer les utilisateurs dans WorkSpaces Personal](https://docs.aws.amazon.com/workspaces/latest/adminguide/manage-workspaces-users.html) : pour modifier les utilisateurs et leur envoyer un e-mail d'invitation | espaces de travail : DirectoryAccessManagement espaces de travail : DescribeAccount espaces de travail : DescribeWorkspaceDirectories espaces de travail : DescribeWorkspaces espaces de travail : DescribeTags espaces de travail : DescribeWorkspaceBundles espaces de travail : DescribeWorkspacesConnectionStatus espaces de travail : DescribeWorkspaceAssociations espaces de travail : DescribeWorkspaceSnapshots espaces de travail : DescribeWorkspaceImages espaces de travail : DescribeConnectionAliases |
| [Mettre à jour le compte AD Connector (AD Connector) pour WorkSpaces Personal](https://docs.aws.amazon.com/workspaces/latest/adminguide/connect-account.html) | espaces de travail : DirectoryAccessManagement annonces : DescribeDirectories annonces : UpdateDirectory EC2 : DescribeSubnets EC2 : DescribeSecurityGroups espaces de travail : DescribeAccount espaces de travail : DescribeWorkspaceDirectories espaces de travail : DescribeTags espaces de travail : DescribeClientProperties espaces de travail : DescribeConnectClientAddins |
| [Sélectionnez une unité organisationnelle pour WorkSpaces Personnel](https://docs.aws.amazon.com/workspaces/latest/adminguide/select-ou.html) | espaces de travail : DirectoryAccessManagement annonces : DescribeDirectories EC2 : DescribeSubnets EC2 : DescribeSecurityGroups espaces de travail : DescribeAccount espaces de travail : DescribeWorkspaceDirectories espaces de travail : DescribeTags espaces de travail : DescribeClientProperties espaces de travail : DescribeConnectClientAddins espaces de travail : ModifyWorkspaceCreationProperties |
| [Activez votre compte pour BYOL](https://docs.aws.amazon.com/workspaces/latest/adminguide/byol-windows-images.html) — Pour confirmer que vous comprenez les conditions requises pour utiliser BYOL WorkSpaces | espaces de travail : DescribeConsent espaces de travail : UpdateConsent espaces de travail : DescribeAccount espaces de travail : ListAccountLinks espaces de travail : DescribeWorkspaceBundles espaces de travail : DescribeWorkspaceImages espaces de travail : DescribeWorkspaceDirectories |