本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
適用於 Amazon WorkSpaces 安全瀏覽器的動作、資源和條件金鑰
Amazon WorkSpaces Secure 瀏覽器 (服務前置詞:workspaces-web) 提供下列服務特定資源、動作和條件內容金鑰,可用於 IAM 許可政策。
參考資料:
-
了解如何設定此服務。
-
檢視可供此服務使用的 API 操作清單。
-
了解如何使用 IAM 許可政策來保護此服務及其資源。
Amazon WorkSpaces 安全瀏覽器定義的操作
您可在 IAM 政策陳述式的 Action 元素中指定以下動作。使用政策來授予在 AWS中執行操作的許可。在政策中使用動作時,通常會允許或拒絕存取相同名稱的 API 操作或 CLI 命令。不過,在某些情況下,單一動作可控制對多個操作的存取。或者,某些操作需要多種不同的動作。
「動作」資料表的資源類型欄會指出每個動作是否支援資源層級的許可。如果此欄沒有值,您必須在政策陳述式的 Resource 元素中指定政策適用的所有資源 ("*")。如果資料欄包含資源類型,則您可以在具有該動作的陳述式中指定該類型的 ARN。如果動作具有一或多個必要資源,呼叫者必須具有對這些資源使用動作的許可。表格中的必要資源會以星號 (*) 表示。如果您使用 IAM 政策中的 Resource 元素限制資源存取,則每種必要的資源類型必須要有 ARN 或模式。某些動作支援多種資源類型。如果資源類型是選用 (未顯示為必要),則您可以選擇使用其中一種選用資源類型。
「動作」資料表的條件索引鍵欄包含您可以在政策陳述式的 Condition 元素中指定的索引鍵。如需有關與服務資源相關聯之條件索引鍵的詳細資訊,請參閱「資源類型」資料表的條件索引鍵欄。
注意
資源條件索引鍵會列在資源類型資料表中。您可以在「動作」資料表的資源類型 (*必填) 欄中找到適用於動作的資源類型連結。「資源類型」資料表中的資源類型包括條件索引鍵欄,其中包含套用至「動作」資料表中動作的資源條件索引鍵。
如需下表各欄的詳細資訊,請參閱動作資料表。
| 動作 | 描述 | 存取層級 | 資源類型 (*必填項目) | 條件索引鍵 | 相依動作 |
|---|---|---|---|---|---|
| AssociateBrowserSettings | 准許將瀏覽器設定與 Web 入口網站建立關聯 | 寫入 | |||
| AssociateIpAccessSettings | 准許將 IP 存取設定與 Web 入口網站建立關聯 | 寫入 | |||
| AssociateNetworkSettings | 准許將網路設定與 Web 入口網站建立關聯 | 寫入 |
ec2:CreateNetworkInterface ec2:CreateNetworkInterfacePermission ec2:CreateTags ec2:DeleteNetworkInterface ec2:DeleteNetworkInterfacePermission ec2:ModifyNetworkInterfaceAttribute |
||
| AssociateTrustStore | 准許將信任存放區與 Web 入口網站建立關聯 | 寫入 | |||
| AssociateUserAccessLoggingSettings | 准許將使用者存取日誌設定與 Web 入口網站建立關聯 | 寫入 |
kinesis:PutRecord kinesis:PutRecords |
||
| AssociateUserSettings | 准許將使用者設定與 Web 入口網站建立關聯 | 寫入 | |||
| CreateBrowserSettings | 准許建立瀏覽器設定 | 寫入 |
kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey |
||
| CreateIdentityProvider | 准許建立身分提供者 | 寫入 | |||
| CreateIpAccessSettings | 准許建立 IP 存取設定 | 寫入 | |||
| CreateNetworkSettings | 准許建立網路設定 | 寫入 |
iam:CreateServiceLinkedRole |
||
| CreatePortal | 准許建立 Web 入口網站 | 寫入 |
iam:CreateServiceLinkedRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey |
||
| CreateTrustStore | 准許建立信任存放區 | 寫入 | |||
| CreateUserAccessLoggingSettings | 准許建立使用者存取日誌設定 | 寫入 | |||
| CreateUserSettings | 准許建立使用者設定 | 寫入 | |||
| DeleteBrowserSettings | 准許刪除瀏覽器設定 | 寫入 | |||
| DeleteIdentityProvider | 准許刪除身分提供者 | 寫入 | |||
| DeleteIpAccessSettings | 准許刪除 IP 存取設定 | 寫入 | |||
| DeleteNetworkSettings | 准許刪除網路設定 | 寫入 | |||
| DeletePortal | 准許刪除 Web 入口網站 | 寫入 | |||
| DeleteTrustStore | 准許刪除信任存放區 | 寫入 | |||
| DeleteUserAccessLoggingSettings | 准許刪除使用者存取日誌設定 | 寫入 | |||
| DeleteUserSettings | 准許刪除使用者設定 | 寫入 | |||
| DisassociateBrowserSettings | 准許取消瀏覽器設定與 Web 入口網站的關聯 | 寫入 | |||
| DisassociateIpAccessSettings | 准許將 IP 存取日誌與 Web 入口網站取消關聯 | 寫入 | |||
| DisassociateNetworkSettings | 准許取消網路設定與 Web 入口網站的關聯 | 寫入 | |||
| DisassociateTrustStore | 准許取消信任存放區與 Web 入口網站的關聯 | 寫入 | |||
| DisassociateUserAccessLoggingSettings | 准許取消使用者存取日誌設定與 Web 入口網站的關聯 | 寫入 | |||
| DisassociateUserSettings | 准許取消使用者設定與 Web 入口網站的關聯 | 寫入 | |||
| GetBrowserSettings | 准許取得瀏覽器設定的詳細資訊 | 讀取 | |||
| GetIdentityProvider | 准許取得身分提供者的詳細資訊 | 讀取 | |||
| GetIpAccessSettings | 准許取得 IP 存取設定的詳細資料 | 讀取 | |||
| GetNetworkSettings | 准許取得網路設定的詳細資訊 | 讀取 | |||
| GetPortal | 准許取得 Web 入口網站的詳細資訊 | 讀取 | |||
| GetPortalServiceProviderMetadata | 准許取得 Web 入口網站的服務供應商中繼資料資訊 | 讀取 | |||
| GetTrustStore | 准許取得信任存放區的詳細資訊 | 讀取 | |||
| GetTrustStoreCertificate | 准許從信任存放區取得憑證 | 讀取 | |||
| GetUserAccessLoggingSettings | 准許獲取有關使用者存取日誌設定的詳細資訊 | 讀取 | |||
| GetUserSettings | 准許取得使用者設定的詳細資訊 | 讀取 | |||
| ListBrowserSettings | 准許列出瀏覽器設定 | 讀取 | |||
| ListIdentityProviders | 准許列出身分提供者 | 讀取 | |||
| ListIpAccessSettings | 准許列出 IP 存取設定 | 讀取 | |||
| ListNetworkSettings | 准許列出網路設定 | 讀取 | |||
| ListPortals | 准許列出 Web 入口網站 | 讀取 | |||
| ListTagsForResource | 准許列出資源的標籤 | 讀取 | |||
| ListTrustStoreCertificates | 准許列出信任存放區中的憑證 | 讀取 | |||
| ListTrustStores | 准許列出信任存放區 | 讀取 | |||
| ListUserAccessLoggingSettings | 准許列出使用者存取日誌設定 | 讀取 | |||
| ListUserSettings | 准許列出使用者設定 | 讀取 | |||
| TagResource | 授予許可來將一或多個標籤新增到資源 | 標記 | |||
| UntagResource | 准許從資源移除一或多個標籤 | 標記 | |||
| UpdateBrowserSettings | 准許更新瀏覽器設定 | 寫入 | |||
| UpdateIdentityProvider | 准許更新身分提供者 | 寫入 | |||
| UpdateIpAccessSettings | 准許更新 IP 存取設定 | 寫入 | |||
| UpdateNetworkSettings | 准許更新網路設定 | 寫入 |
ec2:CreateNetworkInterface ec2:CreateNetworkInterfacePermission ec2:CreateTags ec2:DeleteNetworkInterface ec2:DeleteNetworkInterfacePermission ec2:ModifyNetworkInterfaceAttribute |
||
| UpdatePortal | 准許更新 Web 入口網站 | 寫入 | |||
| UpdateTrustStore | 准許更新信任存放區 | 寫入 | |||
| UpdateUserAccessLoggingSettings | 准許更新使用者存取日誌設定 | 寫入 |
kinesis:PutRecord kinesis:PutRecords |
||
| UpdateUserSettings | 准許更新使用者設定 | 寫入 |
Amazon WorkSpaces 安全瀏覽器定義的資源類型
此服務會定義下列資源類型,並可用在 IAM 許可政策陳述式的 Resource 元素中。動作資料表中的每個動作都會指明可使用該動作指定的資源類型。資源類型也能定義您可以在政策中包含哪些條件索引鍵。這些索引鍵都會顯示在「資源類型」資料表的最後一欄。如需下表各欄的詳細資訊,請參閱資源類型資料表。
| 資源類型 | ARN | 條件索引鍵 |
|---|---|---|
| browserSettings |
arn:${Partition}:workspaces-web:${Region}:${Account}:browserSettings/${BrowserSettingsId}
|
|
| identityProvider |
arn:${Partition}:workspaces-web:${Region}:${Account}:identityProvider/${PortalId}/${IdentityProviderId}
|
|
| networkSettings |
arn:${Partition}:workspaces-web:${Region}:${Account}:networkSettings/${NetworkSettingsId}
|
|
| portal |
arn:${Partition}:workspaces-web:${Region}:${Account}:portal/${PortalId}
|
|
| trustStore |
arn:${Partition}:workspaces-web:${Region}:${Account}:trustStore/${TrustStoreId}
|
|
| userSettings |
arn:${Partition}:workspaces-web:${Region}:${Account}:userSettings/${UserSettingsId}
|
|
| userAccessLoggingSettings |
arn:${Partition}:workspaces-web:${Region}:${Account}:userAccessLoggingSettings/${UserAccessLoggingSettingsId}
|
|
| ipAccessSettings |
arn:${Partition}:workspaces-web:${Region}:${Account}:ipAccessSettings/${IpAccessSettingsId}
|
Amazon WorkSpaces 安全瀏覽器的條件密鑰
Amazon WorkSpaces 安全瀏覽器定義了下列可用於 IAM 政策Condition元素的條件金鑰。您可以使用這些索引鍵來縮小套用政策陳述式的條件。如需下表各欄的詳細資訊,請參閱條件索引鍵資料表。
若要檢視所有服務都可使用的全域條件索引鍵,請參閱可用全域條件索引鍵。
| 條件索引鍵 | 描述 | 類型 |
|---|---|---|
| aws:RequestTag/${TagKey} | 依要求中傳遞的標籤來篩選存取權 | 字串 |
| aws:ResourceTag/${TagKey} | 依與資源關聯的標籤來篩選存取權 | 字串 |
| aws:TagKeys | 依要求中傳遞的標籤索引鍵來篩選存取權 | ArrayOfString |
