Restricción de acceso del administrador al bucket de Amazon S3 para las carpetas de inicio y persistencia de configuración de la aplicación

De forma predeterminada, los administradores que pueden acceder a los buckets de Amazon S3 creados por la AppStream versión 2.0 pueden ver y modificar el contenido que forma parte de las carpetas de inicio de los usuarios y de la configuración persistente de las aplicaciones. Para restringir el acceso de administrador a los bucket de S3 que contienen los archivos de usuario, recomendamos aplicar la política de acceso del bucket de S3 basada en la siguiente plantilla:

{
  "Sid": "RestrictedAccess",
  "Effect": "Deny",
  "NotPrincipal": 
  {
    "AWS": [
      "arn:aws:iam::account:role/service-role/AmazonAppStreamServiceAccess",
      "arn:aws:sts::account:assumed-role/AmazonAppStreamServiceAccess/PhotonSession",
      "arn:aws:iam::account:user/IAM-user-name"
    ]
  },
    "Action": "s3:*",
    "Resource": "arn:aws:s3:::home-folder-or-application-settings-persistence-s3-bucket-region-account"
  }
 ]
}

Esta política permite el acceso al bucket de S3 solo a los usuarios especificados y al servicio AppStream 2.0. Para cada IAM usuario que deba tener acceso, replique la siguiente línea:

"arn:aws:iam::account:user/IAM-user-name"

En el siguiente ejemplo, la política restringe el acceso al bucket S3 de la carpeta principal a cualquier IAM usuario que no sea marymajor y johnstiles. También permite el acceso al servicio AppStream 2.0, en la AWS región EE.UU. Oeste (Oregón) con el ID de cuenta 123456789012.

{
  "Sid": "RestrictedAccess",
  "Effect": "Deny",
  "NotPrincipal": 
  {
    "AWS": [
      "arn:aws:iam::123456789012:role/service-role/AmazonAppStreamServiceAccess",
      "arn:aws:sts::123456789012:assumed-role/AmazonAppStreamServiceAccess/PhotonSession",
      "arn:aws:iam::123456789012:user/marymajor",
      "arn:aws:iam::123456789012:user/johnstiles"
    ]
  },
    "Action": "s3:*",
    "Resource": "arn:aws:s3:::appstream2-36fb080bb8-us-west-2-123456789012"
  }
 ]
}