Home 폴더와 애플리케이션 설정 지속성을 위한 Amazon S3 버킷에 대한 관리자 액세스 제한

기본적으로 AppStream 2.0이 생성한 Amazon S3 버킷에 액세스할 수 있는 관리자는 사용자의 홈 폴더와 지속적 애플리케이션 설정에 있는 콘텐츠를 확인하고 수정할 수 있습니다. 사용자 파일이 포함된 S3 버킷에 대한 관리자 액세스를 제한해야 한다면 다음 템플릿에 따른 S3 버킷 액세스 정책 적용을 추천합니다.

{
  "Sid": "RestrictedAccess",
  "Effect": "Deny",
  "NotPrincipal": 
  {
    "AWS": [
      "arn:aws:iam::account:role/service-role/AmazonAppStreamServiceAccess",
      "arn:aws:sts::account:assumed-role/AmazonAppStreamServiceAccess/PhotonSession",
      "arn:aws:iam::account:user/IAM-user-name"
    ]
  },
    "Action": "s3:*",
    "Resource": "arn:aws:s3:::home-folder-or-application-settings-persistence-s3-bucket-region-account"
  }
 ]
}

이 정책은 지정된 사용자 및 AppStream 2.0 서비스에만 S3 버킷 액세스를 허용합니다. 액세스 권한이 있어야 하는 모든 IAM 사용자의 경우 다음 열을 복사하세요.

"arn:aws:iam::account:user/IAM-user-name"

다음 예의 정책은 IAM 사용자 marymajor 및 johnstiles 이외의 사용자의 홈 폴더 S3 버킷에 대한 액세스를 제한합니다. 또한 AWS 리전 미국 서부(오레곤)에서 계정 ID 123456789012의 AppStream 2.0 서비스에 대한 액세스를 허용합니다.

{
  "Sid": "RestrictedAccess",
  "Effect": "Deny",
  "NotPrincipal": 
  {
    "AWS": [
      "arn:aws:iam::123456789012:role/service-role/AmazonAppStreamServiceAccess",
      "arn:aws:sts::123456789012:assumed-role/AmazonAppStreamServiceAccess/PhotonSession",
      "arn:aws:iam::123456789012:user/marymajor",
      "arn:aws:iam::123456789012:user/johnstiles"
    ]
  },
    "Action": "s3:*",
    "Resource": "arn:aws:s3:::appstream2-36fb080bb8-us-west-2-123456789012"
  }
 ]
}