Restriction de l’accès administrateur au compartiment Amazon S3 pour les dossiers de base et la persistance des paramètres d’application - Amazon AppStream 2.0

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Restriction de l’accès administrateur au compartiment Amazon S3 pour les dossiers de base et la persistance des paramètres d’application

Par défaut, les administrateurs autorisés à accéder aux compartiments Amazon S3 créés par la AppStream version 2.0 peuvent consulter et modifier le contenu figurant dans les dossiers personnels des utilisateurs et dans les paramètres permanents des applications. Pour limiter l'accès de l'administrateur aux compartiments S3 qui contiennent les fichiers de l'utilisateur, nous vous recommandons d'appliquer la stratégie d'accès du compartiment S3 en fonction du modèle suivant : 

{
  "Sid": "RestrictedAccess",
  "Effect": "Deny",
  "NotPrincipal": 
  {
    "AWS": [
      "arn:aws:iam::account:role/service-role/AmazonAppStreamServiceAccess",
      "arn:aws:sts::account:assumed-role/AmazonAppStreamServiceAccess/PhotonSession",
      "arn:aws:iam::account:user/IAM-user-name"
    ]
  },
    "Action": "s3:*",
    "Resource": "arn:aws:s3:::home-folder-or-application-settings-persistence-s3-bucket-region-account"
  }
 ]
}

Cette politique autorise l'accès au compartiment S3 uniquement aux utilisateurs spécifiés et au service AppStream 2.0. Pour chaque IAM utilisateur qui devrait y avoir accès, répliquez la ligne suivante :

"arn:aws:iam::account:user/IAM-user-name"

Dans l'exemple suivant, la politique restreint l'accès au compartiment S3 du dossier de base à toute personne autre que les IAM utilisateurs marymajor et johnstiles. Il permet également d'accéder au service AppStream 2.0, dans la AWS région USA Ouest (Oregon) pour le numéro de compte 123456789012.

{
  "Sid": "RestrictedAccess",
  "Effect": "Deny",
  "NotPrincipal": 
  {
    "AWS": [
      "arn:aws:iam::123456789012:role/service-role/AmazonAppStreamServiceAccess",
      "arn:aws:sts::123456789012:assumed-role/AmazonAppStreamServiceAccess/PhotonSession",
      "arn:aws:iam::123456789012:user/marymajor",
      "arn:aws:iam::123456789012:user/johnstiles"
    ]
  },
    "Action": "s3:*",
    "Resource": "arn:aws:s3:::appstream2-36fb080bb8-us-west-2-123456789012"
  }
 ]
}