Limitazione dell'accesso amministratore al bucket Amazon S3 per le home directory e la persistenza delle impostazioni dell'applicazione

Per impostazione predefinita, gli amministratori che possono accedere ai bucket Amazon S3 creati AppStream dalla versione 2.0 possono visualizzare e modificare i contenuti che fanno parte delle cartelle home degli utenti e delle impostazioni persistenti delle applicazioni. Per limitare l'accesso amministratore ai bucket S3 che contengono i file dell'utente, consigliamo di applicare le policy di accesso dei bucket S3 basate sul modello seguente:

{
  "Sid": "RestrictedAccess",
  "Effect": "Deny",
  "NotPrincipal": 
  {
    "AWS": [
      "arn:aws:iam::account:role/service-role/AmazonAppStreamServiceAccess",
      "arn:aws:sts::account:assumed-role/AmazonAppStreamServiceAccess/PhotonSession",
      "arn:aws:iam::account:user/IAM-user-name"
    ]
  },
    "Action": "s3:*",
    "Resource": "arn:aws:s3:::home-folder-or-application-settings-persistence-s3-bucket-region-account"
  }
 ]
}

Questa policy consente l'accesso ai bucket S3 solo agli utenti specificati e al servizio 2.0. AppStream Per ogni IAM utente che dovrebbe avere accesso, replica la riga seguente:

"arn:aws:iam::account:user/IAM-user-name"

Nell'esempio seguente, la politica limita l'accesso al bucket S3 della cartella home per chiunque non sia IAM gli utenti marymajor e johnstiles. Consente inoltre l'accesso al servizio AppStream 2.0, nella AWS regione degli Stati Uniti occidentali (Oregon) per l'account ID 123456789012.

{
  "Sid": "RestrictedAccess",
  "Effect": "Deny",
  "NotPrincipal": 
  {
    "AWS": [
      "arn:aws:iam::123456789012:role/service-role/AmazonAppStreamServiceAccess",
      "arn:aws:sts::123456789012:assumed-role/AmazonAppStreamServiceAccess/PhotonSession",
      "arn:aws:iam::123456789012:user/marymajor",
      "arn:aws:iam::123456789012:user/johnstiles"
    ]
  },
    "Action": "s3:*",
    "Resource": "arn:aws:s3:::appstream2-36fb080bb8-us-west-2-123456789012"
  }
 ]
}