기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Home 폴더와 애플리케이션 설정 지속성을 위한 Amazon S3 버킷에 대한 관리자 액세스 제한
기본적으로 AppStream 2.0에서 생성한 Amazon S3 버킷에 액세스할 수 있는 관리자는 사용자의 홈 폴더 및 영구 애플리케이션 설정의 일부인 콘텐츠를 보고 수정할 수 있습니다. 사용자 파일이 포함된 S3 버킷에 대한 관리자 액세스를 제한해야 한다면 다음 템플릿에 따른 S3 버킷 액세스 정책 적용을 추천합니다.
{ "Sid": "RestrictedAccess", "Effect": "Deny", "NotPrincipal": { "AWS": [ "arn:aws:iam::account:role/service-role/AmazonAppStreamServiceAccess", "arn:aws:sts::account:assumed-role/AmazonAppStreamServiceAccess/PhotonSession", "arn:aws:iam::account:user/IAM-user-name" ] }, "Action": "s3:*", "Resource": "arn:aws:s3:::home-folder-or-application-settings-persistence-s3-bucket-region-account" } ] }
이 정책은 지정된 사용자와 AppStream 2.0 서비스에 대한 S3 버킷 액세스만 허용합니다. 액세스 권한이 있는 모든 IAM 사용자에 대해 다음 줄을 복제합니다.
"arn:aws:iam::account:user/IAM-user-name"다음 예제에서 정책은 IAM 사용자 marymajor 및 johnstiles 이외의 모든 사용자에 대해 홈 폴더 S3 버킷에 대한 액세스를 제한합니다. 또한 계정 ID 123456789012에 대한 미국 서부(오레곤) AWS 리전의 AppStream 2.0 서비스에 액세스할 수 있습니다.
{ "Sid": "RestrictedAccess", "Effect": "Deny", "NotPrincipal": { "AWS": [ "arn:aws:iam::123456789012:role/service-role/AmazonAppStreamServiceAccess", "arn:aws:sts::123456789012:assumed-role/AmazonAppStreamServiceAccess/PhotonSession", "arn:aws:iam::123456789012:user/marymajor", "arn:aws:iam::123456789012:user/johnstiles" ] }, "Action": "s3:*", "Resource": "arn:aws:s3:::appstream2-36fb080bb8-us-west-2-123456789012" } ] }
