Contoh: AppStream 2.0 Aplikasi Kebijakan bucket Amazon S3 lintas layanan membingungkan pencegahan wakil - Amazon AppStream 2.0

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Contoh: AppStream 2.0 Aplikasi Kebijakan bucket Amazon S3 lintas layanan membingungkan pencegahan wakil

Saat Anda menyimpan data di bucket Amazon S3, bucket mungkin terkena masalah deputi yang membingungkan. Ini dapat membuat data seperti armada elastis, blok aplikasi, skrip pengaturan, ikon aplikasi, dan skrip sesi rentan terhadap aktor jahat.

Untuk mencegah masalah deputi yang membingungkan, Anda dapat menentukan aws:SourceAccount kondisi atau aws:SourceArn kondisi dalam kebijakan bucket Amazon S3 untuk. ELASTIC-FLEET-EXAMPLE-BUCKET

Kebijakan sumber daya di bawah ini menunjukkan cara mencegah masalah wakil yang membingungkan dengan salah satu dari berikut ini:

  • aws:SourceAccountDengan ID AWS akun Anda

  • Kunci konteks kondisi global aws:SourceArn

AppStream 2.0 saat ini tidak mendukung pencegahan wakil yang membingungkan untuk ikon aplikasi. Layanan ini hanya mendukung VHD file dan skrip pengaturan. Jika Anda mencoba menambahkan kondisi tambahan untuk ikon aplikasi, ikon tidak akan ditampilkan kepada pengguna akhir.

Dalam contoh berikut, kebijakan bucket hanya mengizinkan sumber daya armada AppStream 2.0 Elastic di akun pemilik untuk mengaksesELASTIC_FLEET_EXAMPLE_BUCKET.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ConfusedDeputyPreventionExamplePolicy",
            "Effect": "Allow",
            "Principal": {
                "Service": "appstream.amazonaws.com"
            },
            "Action": "s3:GetObject",
            "Resource": [
                "arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/vhd-folder/*",
                "arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/scripts/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "your Akun AWS ID"
                }
            }
        },
        {
            "Sid": "AllowRetrievalPermissionsToS3AppIconsForAppStream",
            "Effect": "Allow",
            "Principal": {
                "Service": "appstream.amazonaws.com"
            },
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/app-icons/*"
        }
    ]
}

Anda juga dapat menggunakan aws:SourceArn kondisi untuk membatasi akses sumber daya untuk sumber daya tertentu.

catatan

Jika Anda tidak tahu sumber daya penuhARN, atau Anda ingin menentukan beberapa sumber daya, gunakan kunci kondisi konteks aws:SourceArn global dengan wildcard (*) untuk bagian yang tidak diketahui dari sumber daya. ARN

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ConfusedDeputyPreventionExamplePolicy",
            "Effect": "Allow",
            "Principal": {
                "Service": "appstream.amazonaws.com"            
            },
            "Action": "s3:GetObject",
            "Resource": [
                "arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/vhd-folder/*",
                "arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/scripts/*"
            ],
            "Condition": {
                "ArnLike": {
                    "aws:SourceArn": "arn:{aws-partition}:appstream:{your region name}:{your AWS account ID}:app-block/*"
                }
            }
        },
        {
            "Sid": "AllowRetrievalPermissionsToS3AppIconsForAppStream",
            "Effect": "Allow",
            "Principal": {
                "Service": "appstream.amazonaws.com"
            },
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/app-icons/*"
        }
    ]
}

Anda dapat menggunakan aws:SourceArn dan aws:SourceAccount ketentuan untuk membatasi akses sumber daya untuk sumber daya dan akun tertentu.

catatan

Jika Anda tidak tahu sumber daya penuhARN, atau jika Anda ingin menentukan beberapa sumber daya, gunakan kunci kondisi konteks aws:SourceArn global dengan wildcard (*) untuk bagian yang tidak diketahui dari sumber daya. ARN

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ConfusedDeputyPreventionExamplePolicy",
            "Effect": "Allow",
            "Principal": {
                "Service": "appstream.amazonaws.com"            
            },
            "Action": "s3:GetObject",
            "Resource": [
                "arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/vhd-folder/*",
                "arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/scripts/*"
            ],
            "Condition": {
                "ArnLike": {
                    "aws:SourceArn": "arn:{aws partition}:appstream:{your region name}:{your AWS account ID}:app-block/*"
                }, 
                "StringEquals": {
                    "aws:SourceAccount": "your AWS account ID" 
                }
            }
        },
        {
            "Sid": "AllowRetrievalPermissionsToS3AppIconsForAppStream",
            "Effect": "Allow",
            "Principal": {
                "Service": "appstream.amazonaws.com"
            },
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/app-icons/*"
        }
    ]
}