Amazon WorkSpaces
管理ガイド

Amazon WorkSpaces リソースへのアクセス制御

デフォルトでは、IAM ユーザーには Amazon WorkSpaces のリソースおよびオペレーションのためのアクセス権限がありません。IAM ユーザーに Amazon WorkSpaces のリソース管理を許可するには、それらのユーザーにアクセス権限を明示的に付与する IAM ポリシーを作成し、このポリシーをアクセス権限を必要とする IAM ユーザーまたはグループにアタッチする必要があります。IAM ポリシーの詳細については、IAM ユーザーガイドガイドの「アクセス権限とポリシー」を参照してください。

Amazon WorkSpaces はまた、Amazon WorkSpaces サービスが必要なリソースにアクセスするのを許可する IAM ロールを作成します。

IAM の詳細については、IAM ユーザーガイドの「Identity and Access Management (IAM)」を参照してください。

例 1: すべての Amazon WorkSpaces タスクを実行します

次のポリシーステートメントは、高速セットアップ手順の実行だけではなく、ディレクトリの作成や管理などすべての IAM タスクを実行するためのアクセス権限を Amazon WorkSpaces ユーザーに付与します。

Amazon WorkSpaces は、API およびコマンドラインツールを使用するときに ActionResource エレメントを完全にサポートしますが、Amazon WorkSpaces コンソールを正常に使用するためには、その両方を "*" に設定する必要があります。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "workspaces:*", "ds:*", "iam:PassRole", "iam:GetRole", "iam:CreateRole", "iam:PutRolePolicy", "kms:ListAliases", "kms:ListKeys", "ec2:CreateVpc", "ec2:CreateSubnet", "ec2:CreateNetworkInterface", "ec2:CreateInternetGateway", "ec2:CreateRouteTable", "ec2:CreateRoute", "ec2:CreateTags", "ec2:CreateSecurityGroup", "ec2:DescribeInternetGateways", "ec2:DescribeRouteTables", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeNetworkInterfaces", "ec2:DescribeAvailabilityZones", "ec2:AttachInternetGateway", "ec2:AssociateRouteTable", "ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress", "ec2:DeleteSecurityGroup", "ec2:DeleteNetworkInterface", "ec2:RevokeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress", "workdocs:RegisterDirectory", "workdocs:DeregisterDirectory", "workdocs:AddUserToGroup", "workdocs:RemoveUserFromGroup" ], "Resource": "*" } ] }

例 2: WorkSpace 固有のタスクを実行します

次のポリシーステートメントは、WorkSpaces の起動や削除など、WorkSpace 固有のタスクを実行するためのアクセス権限を IAM ユーザーに付与します。ポリシーステートメントで、ds:* アクションは広範なアクセス許可 — アカウント内のすべての Directory Services オブジェクトの完全なコントロールを付与します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "workspaces:*", "ds:*", "iam:PutRolePolicy" ], "Resource": "*" } ] }

Amazon WorkSpaces 内のユーザーが Amazon WorkDocs を有効にすることも許可するには、ここに示す workdocs オペレーションを追加します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "workspaces:*", "ds:*", "workdocs:AddUserToGroup", "workdocs:RemoveUserFromGroup" ], "Resource": "*" } ] }

ユーザーが Launch WorkSpaces ウィザードを使用することも許可するには、ここに示す kms オペレーションを追加します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "workspaces:*", "ds:*", "workdocs:AddUserToGroup", "workdocs:RemoveUserFromGroup", "kms:ListAliases", "kms:ListKeys" ], "Resource": "*" } ] }

IAM ポリシーで Amazon WorkSpaces リソースを指定する

ポリシーステートメントの Resource 要素で Amazon WorkSpaces リソースを指定するためには、リソースの Amazon リソースネーム(ARN)を使用する必要があります。Amazon WorkSpaces ポリシーステートメントの Action 要素に指定された API アクションを使用する権限を許可または拒否することで、IAM リソースへのアクセスを制御できます。Amazon WorkSpaces は WorkSpaces、バンドル、IP グループ、およびディレクトリの ARN を定義します。

WorkSpace ARN

WorkSpace ARN には次の構文があります。

arn:aws:workspaces:region:account_id:workspace/workspace_identifier
リージョン

WorkSpace があるリージョン(例: us-east-2)。

account_id

ハイフンなしの AWS アカウントの ID(例: 123456789012)。

workspace_identifier

WorkSpace の ID(例: ws-0123456789)。

次に示すのは、特定の WorkSpace を識別するポリシーステートメントの Resource 要素の形式です。

"Resource": "arn:aws:workspaces:region:account_id:workspace/workspace_identifier"

「*」ワイルドカードを使用して、特定リージョンの特定のアカウントに属するすべての WorkSpace を指定できます。

バンドル ARN

バンドル ARN には次の構文があります。

arn:aws:workspaces:region:account_id:workspacebundle/bundle_identifier
リージョン

WorkSpace があるリージョン(例: us-east-2)。

account_id

ハイフンなしの AWS アカウントの ID(例: 123456789012)。

bundle_identifier

WorkSpace バンドルの ID(例: wsb-0123456789)。

次に示すのは、特定のバンドルを識別するポリシーステートメントの Resource 要素の形式です。

"Resource": "arn:aws:workspaces:region:account_id:workspacebundle/bundle_identifier"

「*」ワイルドカードを使用して、特定リージョンの特定のアカウントに属するすべてのバンドルを指定できます。

IP グループ ARN

IP グループ ARN には以下の構文があります。

arn:aws:workspaces:region:account_id:workspaceipgroup/ipgroup_identifier
リージョン

WorkSpace があるリージョン(例: us-east-2)。

account_id

ハイフンなしの AWS アカウントの ID(例: 123456789012)。

ipgroup_identifier

IP グループの ID (例: wsipg-a1bcd2efg)。

次に示すのは、特定の IP グループを識別するポリシーステートメントの Resource 要素の形式です。

"Resource": "arn:aws:workspaces:region:account_id:workspaceipgroup/ipgroup_identifier"

「*」ワイルドカードを使用して、特定リージョンの特定のアカウントに属するすべての IP グループを指定できます。

ディレクトリ ARN

ディレクトリ ARN の構文は次のとおりです。

arn:aws:workspaces:region:account_id:directory/directory_identifier
リージョン

WorkSpace があるリージョン(例: us-east-2)。

account_id

ハイフンなしの AWS アカウントの ID(例: 123456789012)。

directory_identifier

ディレクトリの ID (例: d-12345a67b8)。

次に示すのは、特定のディレクトリを識別するポリシーステートメントの Resource 要素の形式です。

"Resource": "arn:aws:workspaces:region:account_id:directory/directory_identifier"

「*」ワイルドカードを使用して、特定リージョンの特定のアカウントに属するすべてのディレクトリを指定できます。

リソースレベルの権限をサポートしない API アクション

リソース ARN は、次の API アクションで指定することはできません。

  • AssociateIpGroups

  • CreateIpGroup

  • CreateTags

  • DeleteTags

  • DeleteWorkspaceImage

  • DescribeAccount

  • DescribeAccountModifications

  • DescribeTags

  • DescribeWorkspaceDirectories

  • DescribeWorkspaceImages

  • DescribeWorkspaces

  • DescribeWorkspacesConnectionStatus

  • DisassociateIpGroups

  • ImportWorkspaceImage

  • ListAvailableManagementCidrRanges

  • ModifyAccount

リソースレベルの権限をサポートしていない API アクションの場合、次の Resource ステートメントを指定する必要があります。

"Resource": "*"