Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # Contoh: WorkSpaces Aplikasi Aplikasi Kebijakan bucket Amazon S3 lintas layanan membingungkan pencegahan wakil Saat Anda menyimpan data di bucket Amazon S3, bucket mungkin terkena masalah deputi yang membingungkan. Ini dapat membuat data seperti armada elastis, blok aplikasi, skrip pengaturan, ikon aplikasi, dan skrip sesi rentan terhadap aktor jahat. Untuk mencegah masalah deputi yang membingungkan, Anda dapat menentukan `aws:SourceAccount` kondisi atau `aws:SourceArn` kondisi dalam kebijakan bucket Amazon S3 untuk. `ELASTIC-FLEET-EXAMPLE-BUCKET` Kebijakan sumber daya di bawah ini menunjukkan cara mencegah masalah wakil yang membingungkan dengan salah satu dari berikut ini: + `aws:SourceAccount`Dengan ID AWS akun Anda + Kunci konteks kondisi global `aws:SourceArn` WorkSpaces Aplikasi saat ini tidak mendukung pencegahan wakil yang membingungkan untuk ikon aplikasi. Layanan ini hanya mendukung file VHD dan skrip pengaturan. Jika Anda mencoba menambahkan kondisi tambahan untuk ikon aplikasi, ikon tidak akan ditampilkan kepada pengguna akhir. Dalam contoh berikut, kebijakan bucket hanya mengizinkan sumber daya armada WorkSpaces Applications Elastic di akun pemilik untuk mengakses`ELASTIC_FLEET_EXAMPLE_BUCKET`. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "ConfusedDeputyPreventionExamplePolicy", "Effect": "Allow", "Principal": { "Service": "appstream.amazonaws.com" }, "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::{{ELASTIC-FLEET-EXAMPLE-BUCKET}}/vhd-folder/*", "arn:aws:s3:::{{ELASTIC-FLEET-EXAMPLE-BUCKET}}/scripts/*" ], "Condition": { "StringEquals": { "aws:SourceAccount": "{{your Akun AWS ID}}" } } }, { "Sid": "AllowRetrievalPermissionsToS3AppIconsForAppStream", "Effect": "Allow", "Principal": { "Service": "appstream.amazonaws.com" }, "Action": "s3:GetObject", "Resource": "arn:aws:s3:::{{ELASTIC-FLEET-EXAMPLE-BUCKET}}/app-icons/*" } ] } ``` ------ Anda juga dapat menggunakan `aws:SourceArn` kondisi untuk membatasi akses sumber daya untuk sumber daya tertentu. **catatan** Jika Anda tidak mengetahui ARN lengkap sumber daya, atau Anda ingin menentukan beberapa sumber daya, gunakan kunci kondisi konteks `aws:SourceArn` global dengan wildcard (\*) untuk bagian ARN yang tidak diketahui. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "ConfusedDeputyPreventionExamplePolicy", "Effect": "Allow", "Principal": { "Service": "appstream.amazonaws.com" }, "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::{{ELASTIC-FLEET-EXAMPLE-BUCKET}}/vhd-folder/*", "arn:aws:s3:::{{ELASTIC-FLEET-EXAMPLE-BUCKET}}/scripts/*" ], "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:appstream:{{us-east-1}}:{{111122223333}}:app-block/*" } } }, { "Sid": "AllowRetrievalPermissionsToS3AppIconsForAppStream", "Effect": "Allow", "Principal": { "Service": "appstream.amazonaws.com" }, "Action": "s3:GetObject", "Resource": "arn:aws:s3:::{{ELASTIC-FLEET-EXAMPLE-BUCKET}}/app-icons/*" } ] } ``` ------ Anda dapat menggunakan `aws:SourceArn` dan `aws:SourceAccount` ketentuan untuk membatasi akses sumber daya untuk sumber daya dan akun tertentu. **catatan** Jika Anda tidak mengetahui ARN lengkap sumber daya, atau jika Anda ingin menentukan beberapa sumber daya, gunakan kunci kondisi konteks `aws:SourceArn` global dengan wildcard (\*) untuk bagian ARN yang tidak diketahui. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "ConfusedDeputyPreventionExamplePolicy", "Effect": "Allow", "Principal": { "Service": "appstream.amazonaws.com" }, "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::{{ELASTIC-FLEET-EXAMPLE-BUCKET}}/vhd-folder/*", "arn:aws:s3:::{{ELASTIC-FLEET-EXAMPLE-BUCKET}}/scripts/*" ], "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:appstream:{{us-east-1}}:{{111122223333}}:app-block/*" }, "StringEquals": { "aws:SourceAccount": "{{your AWS account ID}}" } } }, { "Sid": "AllowRetrievalPermissionsToS3AppIconsForAppStream", "Effect": "Allow", "Principal": { "Service": "appstream.amazonaws.com" }, "Action": "s3:GetObject", "Resource": "arn:aws:s3:::{{ELASTIC-FLEET-EXAMPLE-BUCKET}}/app-icons/*" } ] } ``` ------