Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Membatasi Akses Administrator ke Bucket Amazon S3 untuk Folder Rumah dan Persistensi Pengaturan Aplikasi
Secara default, administrator yang dapat mengakses bucket Amazon S3 yang dibuat AppStream oleh 2.0 dapat melihat dan memodifikasi konten yang merupakan bagian dari folder beranda pengguna dan pengaturan aplikasi persisten. Untuk membatasi akses administrator ke bucket S3 yang berisi file pengguna, sebaiknya terapkan kebijakan akses bucket S3 berdasarkan templat berikut:
{ "Sid": "RestrictedAccess", "Effect": "Deny", "NotPrincipal": { "AWS": [ "arn:aws:iam::account:role/service-role/AmazonAppStreamServiceAccess", "arn:aws:sts::account:assumed-role/AmazonAppStreamServiceAccess/PhotonSession", "arn:aws:iam::account:user/IAM-user-name" ] }, "Action": "s3:*", "Resource": "arn:aws:s3:::home-folder-or-application-settings-persistence-s3-bucket-region-account" } ] }
Kebijakan ini memungkinkan akses bucket S3 hanya untuk pengguna yang ditentukan dan ke layanan AppStream 2.0. Untuk setiap IAM pengguna yang seharusnya memiliki akses, replikasi baris berikut:
"arn:aws:iam::account:user/IAM-user-name"Dalam contoh berikut, kebijakan membatasi akses ke bucket S3 folder home untuk siapa pun selain IAM pengguna marymajor dan johnstiles. Ini juga memungkinkan akses ke layanan AppStream 2.0, di AWS Wilayah AS Barat (Oregon) untuk ID akun 123456789012.
{ "Sid": "RestrictedAccess", "Effect": "Deny", "NotPrincipal": { "AWS": [ "arn:aws:iam::123456789012:role/service-role/AmazonAppStreamServiceAccess", "arn:aws:sts::123456789012:assumed-role/AmazonAppStreamServiceAccess/PhotonSession", "arn:aws:iam::123456789012:user/marymajor", "arn:aws:iam::123456789012:user/johnstiles" ] }, "Action": "s3:*", "Resource": "arn:aws:s3:::appstream2-36fb080bb8-us-west-2-123456789012" } ] }
