IAM ポリシーを使用したホームフォルダとアプリケーション設定の永続化のための Amazon S3 バケットへの管理者アクセスの管理 - Amazon AppStream 2.0
ホームフォルダおよびアプリケーション設定の永続化用の Amazon S3 バケットの削除ホームフォルダおよびアプリケーション設定の永続化用の Amazon S3 バケットへの管理者アクセスの制限

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

IAM ポリシーを使用したホームフォルダとアプリケーション設定の永続化のための Amazon S3 バケットへの管理者アクセスの管理

次の例は、IAMポリシーを使用して、ホームフォルダとアプリケーション設定の永続化のために Amazon S3 バケットへのアクセスを管理する方法を示しています。

ホームフォルダおよびアプリケーション設定の永続化用の Amazon S3 バケットの削除

AppStream 2.0 は、Amazon S3 バケットポリシーをバケットに追加して、バケットが誤って削除されないようにします。S3 バケットを削除するには、最初に S3 バケットポリシーを削除する必要があります。ホームフォルダおよびアプリケーション設定の永続化用のバケットポリシーとして削除するものは、以下のとおりです。

ホームフォルダポリシー

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "PreventAccidentalDeletionOfBucket",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:DeleteBucket",
      "Resource": "arn:aws:s3:::appstream2-36fb080bb8-region-code-account-id-without-hyphens"
    }
  ]
}

アプリケーション設定の永続化ポリシー

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "PreventAccidentalDeletionOfBucket",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:DeleteBucket",
      "Resource": "arn:aws:s3:::appstream-app-settings-region-code-account-id-without-hyphens-unique-identifier"
     }
   ]
}

詳細については、Amazon Simple Storage Service ユーザーガイドの「Deleting or Emptying a Bucket」を参照してください。

ホームフォルダおよびアプリケーション設定の永続化用の Amazon S3 バケットへの管理者アクセスの制限

デフォルトでは、 AppStream 2.0 によって作成された Amazon S3 バケットにアクセスできる管理者は、ユーザーのホームフォルダと永続的なアプリケーション設定の一部であるコンテンツを表示および変更できます。ユーザーファイルが含まれている S3 バケットへの管理者アクセスを制限するには、次のテンプレートに基づく S3 バケットアクセスポリシーを適用することをお勧めします。

{
  "Sid": "RestrictedAccess",
  "Effect": "Deny",
  "NotPrincipal": 
  {
    "AWS": [
      "arn:aws:iam::account:role/service-role/AmazonAppStreamServiceAccess",
      "arn:aws:sts::account:assumed-role/AmazonAppStreamServiceAccess/PhotonSession",
      "arn:aws:iam::account:user/IAM-user-name"
    ]
  },
    "Action": "s3:*",
    "Resource": "arn:aws:s3:::home-folder-or-application-settings-persistence-s3-bucket-region-account"
  }
 ]
}

このポリシーは、指定されたユーザーと AppStream 2.0 サービスへの S3 バケットアクセスのみを許可します。アクセス権を持つ必要があるすべてのIAMユーザーについて、次の行をレプリケートします。

"arn:aws:iam::account:user/IAM-user-name"

次の例では、このポリシーは、IAMユーザーのマリーメジャーとジャンタイル以外のすべてのユーザーに対して、ホームフォルダ S3 バケットへのアクセスを制限します。また、アカウント ID 123456789012 の米国西部 (オレゴン) AWS リージョンの AppStream 2.0 サービスへのアクセスも許可します。

{
  "Sid": "RestrictedAccess",
  "Effect": "Deny",
  "NotPrincipal": 
  {
    "AWS": [
      "arn:aws:iam::123456789012:role/service-role/AmazonAppStreamServiceAccess",
      "arn:aws:sts::123456789012:assumed-role/AmazonAppStreamServiceAccess/PhotonSession",
      "arn:aws:iam::123456789012:user/marymajor",
      "arn:aws:iam::123456789012:user/johnstiles"
    ]
  },
    "Action": "s3:*",
    "Resource": "arn:aws:s3:::appstream2-36fb080bb8-us-west-2-123456789012"
  }
 ]
}