Ações, recursos e chaves de condição do Amazon WorkSpaces - Referência de autorização do serviço

Ações, recursos e chaves de condição do Amazon WorkSpaces

O Amazon WorkSpaces (prefixo do serviço: workspaces) fornece os seguintes recursos, ações e chaves de contexto de condição específicos ao serviço para uso em políticas de permissão do IAM.

Referências:

Ações definidas pelo Amazon WorkSpaces

Você pode especificar as seguintes ações no elemento Action de uma declaração de política do IAM. Use políticas para conceder permissões para executar uma operação na AWS. Quando usa uma ação em uma política, você geralmente permite ou nega acesso à operação da API ou ao comando da CLI com o mesmo nome. No entanto, em alguns casos, uma única ação controla o acesso a mais de uma operação. Como alternativa, algumas operações exigem várias ações diferentes.

A coluna Resource types (Tipos de recursos) indica se cada ação é compatível com permissões no nível do recurso. Se não houver valor para essa coluna, você deverá especificar todos os recursos ("*") no elemento Resource de sua declaração de política. Se a coluna incluir um tipo de recurso, você poderá especificar um ARN desse tipo em uma declaração com essa ação. Os recursos obrigatórios são indicados na tabela com um asterisco (*). Se você especificar um ARN de permissão no nível do recurso em uma instrução que esteja usando essa ação, ele deverá ser desse tipo. Algumas ações oferecem suporte a vários tipos de recursos. Se o tipo de recurso for opcional (não indicado como obrigatório), você poderá optar por usar um, mas não o outro.

Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de ações.

Ações Descrição Nível de acesso Tipos de recursos (*necessários) Chaves de condição Ações dependentes
AssociateConnectionAlias Concede permissão para associar aliases de conexão a diretórios. Write

connectionalias*

directoryid*

AssociateIpGroups Concede permissão para associar grupos de controle de acesso IP a diretórios. Write

directoryid*

workspaceipgroup*

AuthorizeIpRules Concede permissão para adicionar regras a grupos de controle de acesso IP. Write

workspaceipgroup*

CopyWorkspaceImage Concede permissão para copiar a imagem de um WorkSpace. Write

workspaceimage*

workspaces:DescribeWorkspaceImages

aws:RequestTag/${TagKey}

aws:TagKeys

CreateConnectClientAddIn Concede permissão para criar um suplemento do cliente do Amazon Connect em um diretório Write

directoryid*

CreateConnectionAlias Concede permissão para criar aliases de conexão para uso com redirecionamento entre regiões. Write

aws:RequestTag/${TagKey}

aws:TagKeys

CreateIpGroup Concede permissão para criar grupos de controle de acesso IP. Write

aws:RequestTag/${TagKey}

aws:TagKeys

CreateTags Concede permissão para criar etiquetas para recursos de WorkSpaces. Marcação

aws:RequestTag/${TagKey}

aws:TagKeys

CreateUpdatedWorkspaceImage Concede permissão para criar uma imagem do WorkSpace atualizada Write

workspaceimage*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateWorkspaceBundle Concede permissão para criar um pacote de WorkSpaces. Write

workspacebundle*

workspaces:CreateTags

workspaceimage*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateWorkspaceImage Concede permissão para criar uma nova imagem do WorkSpace Write

workspaceid*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateWorkspaces Concede permissão para criar um ou mais WorkSpaces. Write

directoryid*

workspacebundle*

workspaceid*

aws:RequestTag/${TagKey}

aws:TagKeys

DeleteClientBranding Concede permissão para excluir dados de marca do AWS WorkSpaces Client de um diretório Write

directoryid*

DeleteConnectClientAddIn Concede permissão para excluir um suplemento do cliente do Amazon Connect configurado em um diretório Write

directoryid*

DeleteConnectionAlias Concede permissão para excluir aliases de conexão. Write

connectionalias*

DeleteIpGroup Concede permissão para excluir grupos de controle de acesso IP. Write

workspaceipgroup*

DeleteTags Concede permissão para excluir etiquetas dos recursos de WorkSpaces. Marcação

aws:RequestTag/${TagKey}

aws:TagKeys

DeleteWorkspaceBundle Concede permissão para excluir pacotes de WorkSpaces. Write

workspacebundle*

DeleteWorkspaceImage Concede permissão para excluir imagens de WorkSpaces. Write

workspaceimage*

DeregisterWorkspaceDirectory Concede permissão para cancelar o registro de diretórios para uso com o Amazon WorkSpaces. Write

directoryid*

DescribeAccount Concede permissão para recuperar a configuração Bring Your Own License (BYOL – Traga Sua Própria Licença) das contas de WorkSpaces. Read
DescribeAccountModifications Concede permissão para recuperar modificações na configuração BYOL das contas de WorkSpaces. Read
DescribeClientBranding Concede permissão para recuperar dados de marca do AWS WorkSpaces Client de um diretório Read

directoryid*

DescribeClientProperties Concede permissão para recuperar informações sobre clientes de WorkSpaces. List

directoryid*

DescribeConnectClientAddIns Concede permissão para recuperar uma lista de suplementos de cliente do Amazon Connect que foram criados List

directoryid*

DescribeConnectionAliasPermissions Concede permissão para recuperar as permissões que os proprietários de aliases de conexão concederam a outras contas da AWS para aliases de conexão Read

connectionalias*

DescribeConnectionAliases Concede permissão para recuperar uma lista que descreve os aliases de conexão usados para o redirecionamento entre regiões. Read
DescribeIpGroups Concede permissão para recuperar informações sobre grupos de concede de acesso IP. Read

workspaceipgroup*

DescribeTags Concede permissão para descrever as etiquetas dos recursos de WorkSpaces. Read
DescribeWorkspaceBundles Concede permissão para obter informações sobre pacotes de WorkSpaces. List
DescribeWorkspaceDirectories Concede permissão para recuperar informações sobre diretórios registrados em WorkSpaces. Read
DescribeWorkspaceImagePermissions Concede permissão para recuperar informações sobre permissões de imagem de WorkSpaces. Read

workspaceimage*

DescribeWorkspaceImages Concede permissão para recuperar informações sobre imagens de WorkSpaces. List
DescribeWorkspaceSnapshots Concede permissão para recuperar informações sobre snapshots de WorkSpaces. List

workspaceid*

DescribeWorkspaces Concede permissão para obter informações sobre WorkSpaces. List
DescribeWorkspacesConnectionStatus Concede permissão para obter o status da conexão de WorkSpaces. Read
DisassociateConnectionAlias Concede permissão para desassociar aliases de conexão de diretórios. Write

connectionalias*

DisassociateIpGroups Concede permissão para desassociar grupos de controle de acesso IP dos diretórios. Write

directoryid*

workspaceipgroup*

ImportClientBranding Concede permissão para importar dados de marca do AWS WorkSpaces Client em um diretório Write

directoryid*

ImportWorkspaceImage Concede permissão para importar imagens BYOL para o Amazon WorkSpaces. Write

ec2:DescribeImages

ec2:ModifyImageAttribute

ListAvailableManagementCidrRanges Concede permissão para listar os intervalos CIDR disponíveis para habilitar a configuração BYOL nas contas de WorkSpaces. List
MigrateWorkspace Concede permissão para migrar WorkSpaces. Write

workspacebundle*

workspaceid*

ModifyAccount Concede permissão para modificar a configuração BYOL das contas de WorkSpaces. Write
ModifyClientProperties Concede permissão para modificar as propriedades dos clientes de WorkSpaces. Write

directoryid*

ModifySamlProperties Concede permissão para modificar as propriedades de SAML de um diretório Write

directoryid*

ModifySelfservicePermissions Concede permissão para modificar os recursos autônomos de gerenciamento do WorkSpace para os usuários. Permissions management

directoryid*

ModifyWorkspaceAccessProperties Concede permissão para especificar quais dispositivos e sistemas operacionais os usuários podem usar para acessar os WorkSpaces. Write

directoryid*

ModifyWorkspaceCreationProperties Concede permissão para modificar as propriedades-padrão usadas para criar WorkSpaces. Write

directoryid*

ModifyWorkspaceProperties Concede permissão para modificar as propriedades do WorkSpace, inclusive o modo de execução e o período do AutoStop. Write

workspaceid*

ModifyWorkspaceState Concede permissão para modificar o estado de WorkSpaces. Write

workspaceid*

RebootWorkspaces Concede permissão para reinicializar WorkSpaces. Write

workspaceid*

RebuildWorkspaces Concede permissão para recriar WorkSpaces. Write

workspaceid*

RegisterWorkspaceDirectory Concede permissão para registrar diretórios para uso com o Amazon WorkSpaces. Write

directoryid*

aws:RequestTag/${TagKey}

aws:TagKeys

RestoreWorkspace Concede permissão para restaurar WorkSpaces. Write

workspaceid*

RevokeIpRules Concede permissão para remover regras de grupos de controle de acesso IP. Write

workspaceipgroup*

StartWorkspaces Concede permissão para iniciar WorkSpaces no modo AutoStop. Write

workspaceid*

StopWorkspaces Concede permissão para interromper WorkSpaces no modo AutoStop. Write

workspaceid*

Stream Concede permissão para usuários federados fazerem login usando as credenciais existentes e transmitirem seu workspace Write

directoryid*

workspaces:userId

TerminateWorkspaces Concede permissão para encerrar WorkSpaces. Write

workspaceid*

UpdateConnectClientAddIn Concede permissão para atualizar um suplemento do cliente do Amazon Connect. Use esta ação para atualizar o nome e o URL do endpoint de um suplemento do cliente do Amazon Connect Write

directoryid*

UpdateConnectionAliasPermission Concede permissão para compartilhar ou cancelar o compartilhamento de aliases de conexão com outras contas. Permissions management

connectionalias*

UpdateRulesOfIpGroup Concede permissão para substituir regras de grupos de controle de acesso IP. Write

workspaceipgroup*

UpdateWorkspaceBundle Concede permissão para atualizar as imagens de WorkSpaces usadas nos pacotes. Write

workspacebundle*

workspaceimage*

UpdateWorkspaceImagePermission Concede permissão para compartilhar ou cancelar o compartilhamento de imagens de WorkSpaces com outras contas especificando se outras contas têm permissão para copiar a imagem. Permissions management

workspaceimage*

Tipos de recursos definidos pelo Amazon WorkSpaces

Os seguintes tipos de recursos são definidos por este serviço e podem ser usados no elemento Resource de declarações de políticas de permissão do IAM. Cada ação na Tabela de ações identifica os tipos de recursos que podem ser especificados com essa ação. Um tipo de recurso também pode definir quais chaves de condição você pode incluir em uma política. Essas chaves são exibidas na última coluna da tabela. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de tipos de recursos.

Tipos de recursos ARN Chaves de condição
directoryid arn:${Partition}:workspaces:${Region}:${Account}:directory/${DirectoryId}

aws:ResourceTag/${TagKey}

workspacebundle arn:${Partition}:workspaces:${Region}:${Account}:workspacebundle/${BundleId}

aws:ResourceTag/${TagKey}

workspaceid arn:${Partition}:workspaces:${Region}:${Account}:workspace/${WorkspaceId}

aws:ResourceTag/${TagKey}

workspaceimage arn:${Partition}:workspaces:${Region}:${Account}:workspaceimage/${ImageId}

aws:ResourceTag/${TagKey}

workspaceipgroup arn:${Partition}:workspaces:${Region}:${Account}:workspaceipgroup/${GroupId}

aws:ResourceTag/${TagKey}

connectionalias arn:${Partition}:workspaces:${Region}:${Account}:connectionalias/${ConnectionAliasId}

aws:ResourceTag/${TagKey}

Chaves de condição do Amazon WorkSpaces

O Amazon WorkSpaces define as seguintes chaves de condição que podem ser usadas no elemento Condition de uma política do IAM. É possível usar essas chaves para refinar ainda mais as condições sob as quais a declaração de política se aplica. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de chaves de condição.

Para visualizar as chaves de condição globais disponíveis para todos os serviços, consulte Chaves de condição globais disponíveis.

Chaves de condição Descrição Type
aws:RequestTag/${TagKey} Filtra ações com base nas etiquetas transmitidas na solicitação String
aws:ResourceTag/${TagKey} Filtra as ações com base nas etiquetas associadas ao recurso String
aws:TagKeys Filtra ações com base nas chaves da etiqueta transmitidas na solicitação ArrayOfString
workspaces:userId Filtra o acesso pelo ID do usuário de Workspaces String