IAM정책을 사용하여 홈 폴더 및 애플리케이션 설정 지속성을 위한 Amazon S3 버킷에 대한 관리자 액세스 관리 - 아마존 AppStream 2.0
Home 폴더 및 애플리케이션 설정 지속성을 위한 Amazon S3 버킷 삭제Home 폴더와 애플리케이션 설정 지속성을 위한 Amazon S3 버킷에 대한 관리자 액세스 제한

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

IAM정책을 사용하여 홈 폴더 및 애플리케이션 설정 지속성을 위한 Amazon S3 버킷에 대한 관리자 액세스 관리

다음 예는 IAM 정책을 사용하여 홈 폴더 및 애플리케이션 설정 지속성에 대한 Amazon S3 버킷에 대한 액세스를 관리하는 방법을 보여줍니다.

Home 폴더 및 애플리케이션 설정 지속성을 위한 Amazon S3 버킷 삭제

AppStream 2.0은 생성한 버킷에 Amazon S3 버킷 정책을 추가하여 실수로 삭제되는 것을 방지합니다. S3 버킷을 삭제하려면 먼저 S3 버킷 정책을 삭제해야 합니다. 다음은 Home 폴더와 애플리케이션 설정 지속성에 대해 삭제해야 하는 버킷 정책입니다.

Home 폴더 정책

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "PreventAccidentalDeletionOfBucket",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:DeleteBucket",
      "Resource": "arn:aws:s3:::appstream2-36fb080bb8-region-code-account-id-without-hyphens"
    }
  ]
}

애플리케이션 설정 지속성 정책

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "PreventAccidentalDeletionOfBucket",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:DeleteBucket",
      "Resource": "arn:aws:s3:::appstream-app-settings-region-code-account-id-without-hyphens-unique-identifier"
     }
   ]
}

자세한 내용은 Amazon Simple Storage Service Console 사용 설명서의 버킷 삭제 또는 비우기를 참조하세요.

Home 폴더와 애플리케이션 설정 지속성을 위한 Amazon S3 버킷에 대한 관리자 액세스 제한

기본적으로 AppStream 2.0에서 생성된 Amazon S3 버킷에 액세스할 수 있는 관리자는 사용자의 홈 폴더 및 영구 애플리케이션 설정에 속하는 콘텐츠를 보고 수정할 수 있습니다. 사용자 파일이 포함된 S3 버킷에 대한 관리자 액세스를 제한해야 한다면 다음 템플릿에 따른 S3 버킷 액세스 정책 적용을 추천합니다.

{
  "Sid": "RestrictedAccess",
  "Effect": "Deny",
  "NotPrincipal": 
  {
    "AWS": [
      "arn:aws:iam::account:role/service-role/AmazonAppStreamServiceAccess",
      "arn:aws:sts::account:assumed-role/AmazonAppStreamServiceAccess/PhotonSession",
      "arn:aws:iam::account:user/IAM-user-name"
    ]
  },
    "Action": "s3:*",
    "Resource": "arn:aws:s3:::home-folder-or-application-settings-persistence-s3-bucket-region-account"
  }
 ]
}

이 정책은 지정된 사용자와 AppStream 2.0 서비스에만 S3 버킷 액세스를 허용합니다. 액세스 권한이 있어야 하는 모든 IAM 사용자에 대해 다음 줄을 복제하십시오.

"arn:aws:iam::account:user/IAM-user-name"

다음 예제에서 정책은 marymajor 및 johnstiles IAM 사용자를 제외한 모든 사용자의 홈 폴더 S3 버킷에 대한 액세스를 제한합니다. 또한 계정 ID AppStream 123456789012로 미국 서부 (오레곤) AWS 지역의 2.0 서비스에 액세스할 수 있습니다.

{
  "Sid": "RestrictedAccess",
  "Effect": "Deny",
  "NotPrincipal": 
  {
    "AWS": [
      "arn:aws:iam::123456789012:role/service-role/AmazonAppStreamServiceAccess",
      "arn:aws:sts::123456789012:assumed-role/AmazonAppStreamServiceAccess/PhotonSession",
      "arn:aws:iam::123456789012:user/marymajor",
      "arn:aws:iam::123456789012:user/johnstiles"
    ]
  },
    "Action": "s3:*",
    "Resource": "arn:aws:s3:::appstream2-36fb080bb8-us-west-2-123456789012"
  }
 ]
}