为 WorkSpaces 安全浏览器使用服务相关角色 - Amazon WorkSpaces 安全浏览器
WorkSpaces 安全浏览器的服务相关角色权限为 WorkSpaces 安全浏览器创建服务相关角色编辑 WorkSpaces 安全浏览器的服务相关角色删除 WorkSpaces 安全浏览器的服务相关角色 WorkSpaces 安全浏览器服务相关角色支持的区域

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为 WorkSpaces 安全浏览器使用服务相关角色

Amazon WorkSpaces 安全浏览器使用 AWS Identity and Access Management (IAM) 服务相关角色。服务相关角色是一种独特的 IAM 角色,直接链接到 WorkSpaces 安全浏览器。服务相关角色由 WorkSpaces Secure Browser 预定义,包括该服务代表您调用其他 AWS 服务所需的所有权限。

由于您不必手动添加必要的权限,因此与服务相关的角色可以更轻松地设置 WorkSpaces 安全浏览器。 WorkSpaces 安全浏览器定义其服务相关角色的权限,除非另有定义,否则只有 WorkSpaces 安全浏览器才能担任其角色。定义的权限包括信任策略和权限策略。不能将该权限策略附加到任何其他 IAM 实体。

只有在首先删除服务相关角色的相关资源后,才能删除该角色。这可以保护您的 WorkSpaces 安全浏览器资源,因为您不会无意中删除访问这些资源的权限。

有关支持服务相关角色的其它服务的信息,请参阅使用 IAM 的AWS 服务并查找服务相关角色列中显示为的服务。选择和链接,查看该服务的服务相关角色文档。

WorkSpaces 安全浏览器的服务相关角色权限

WorkSpaces 安全浏览器使用名为的服务相关角色 AWSServiceRoleForAmazonWorkSpacesWeb —— WorkSpaces 安全浏览器使用此服务相关角色访问客户账户的 Amazon EC2 资源以获取流媒体实例和 CloudWatch 指标。

AWSServiceRoleForAmazonWorkSpacesWeb 服务相关角色信任以下服务代入该角色:

  • workspaces-web.amazonaws.com

名为的角色权限策略AmazonWorkSpacesWebServiceRolePolicy允许 WorkSpaces 安全浏览器对指定资源完成以下操作。有关更多信息,请参阅 AWS 托管策略: AmazonWorkSpacesWebServiceRolePolicy

  • 操作:all AWS resources 上的 ec2:DescribeVpcs

  • 操作:ec2:DescribeSubnets 上的 all AWS resources

  • 操作:ec2:DescribeAvailabilityZones 上的 all AWS resources

  • 操作:针对子网和安全组资源的 ec2:CreateNetworkInterface 操作(通过 aws:RequestTag/WorkSpacesWebManaged: true

  • 操作:all AWS resources 上的 ec2:DescribeNetworkInterfaces

  • 操作:针对网络接口的 ec2:DeleteNetworkInterface 操作(通过 aws:ResourceTag/WorkSpacesWebManaged: true

  • 操作:all AWS resources 上的 ec2:DescribeSubnets

  • 操作:ec2:AssociateAddress 上的 all AWS resources

  • 操作:ec2:DisassociateAddress 上的 all AWS resources

  • 操作:ec2:DescribeRouteTables 上的 all AWS resources

  • 操作:ec2:DescribeSecurityGroups 上的 all AWS resources

  • 操作:ec2:DescribeVpcEndpoints 上的 all AWS resources

  • 操作:针对 ec2:CreateNetworkInterfaceec2:CreateTags 操作(通过 aws:TagKeys: ["WorkSpacesWebManaged"]

  • 操作:all AWS resources 上的 cloudwatch:PutMetricData

  • 操作:针对名称以 amazon-workspaces-web- 开头的 Kinesis 数据流的 kinesis:PutRecord 操作

  • 操作:针对名称以 amazon-workspaces-web- 开头的 Kinesis 数据流的 kinesis:PutRecords 操作

  • 操作:针对名称以 amazon-workspaces-web- 开头的 Kinesis 数据流的 kinesis:DescribeStreamSummary 操作

您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的服务相关角色权限

为 WorkSpaces 安全浏览器创建服务相关角色

您无需手动创建服务相关角色。当您在 AWS Management Console、或 AWS API 中创建第一个门户时, WorkSpaces 安全浏览器会为您创建服务相关角色。 AWS CLI

重要

如果您在其他使用此角色支持的功能的服务中完成某个操作,此服务相关角色可以出现在您的账户中。

如果您删除了此服务相关角色,而后需要再次创建它,则可以使用相同的流程在您的账户中重新创建此角色。当您创建第一个门户时, WorkSpaces 安全浏览器会再次为您创建服务相关角色。

您还可以使用 IAM 控制台通过WorkSpaces 安全浏览器用例创建服务相关角色。在 AWS CLI 或 AWS API 中,使用服务名称创建服务相关角色。workspaces-web.amazonaws.com有关更多信息,请参阅《IAM 用户指南》中的创建服务相关角色。如果您删除了此服务相关角色,可以使用同样的过程再次创建角色。

编辑 WorkSpaces 安全浏览器的服务相关角色

WorkSpaces 安全浏览器不允许您编辑AWSServiceRoleForAmazonWorkSpacesWeb服务相关角色。在创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。不过,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅《IAM 用户指南》中的编辑服务相关角色

删除 WorkSpaces 安全浏览器的服务相关角色

如果不再需要使用某个需要服务相关角色的功能或服务,我们建议您删除该角色。这样就没有未被主动监控或维护的未使用实体。但是,必须先清除服务相关角色的资源,然后才能手动删除它。

注意

如果您尝试删除资源时, WorkSpaces 安全浏览器服务正在使用该角色,则删除可能会失败。如果发生这种情况,请等待几分钟后重试。

删除使用的 WorkSpaces 安全浏览器资源 AWSServiceRoleForAmazonWorkSpacesWeb

  • 请选择以下选项之一:

    • 如果您使用控制台,请删除控制台上的所有门户。

    • 如果您使用 CLI 或 API,请取消所有资源(包括浏览器设置、网络设置、用户设置、信任存储和用户访问日志记录设置)与门户的关联,删除这些资源,然后删除这些门户。

使用 IAM 手动删除服务相关角色

使用 IAM 控制台 AWS CLI、或 AWS API 删除 AWSServiceRoleForAmazonWorkSpacesWeb服务相关角色。有关更多信息,请参见《IAM 用户指南》中的删除服务相关角色

WorkSpaces 安全浏览器服务相关角色支持的区域

WorkSpaces Secure Browser 支持在提供服务的所有地区使用服务相关角色。有关更多信息,请参阅 AWS 区域和端点