As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando IAM políticas para gerenciar o acesso do administrador ao bucket do Amazon S3 para persistência de pastas iniciais e configurações de aplicativos

Os exemplos a seguir mostram como você pode usar IAM políticas para gerenciar o acesso ao bucket do Amazon S3 para a persistência das pastas iniciais e das configurações do aplicativo.

Excluir o bucket do Amazon S3 para pastas base e persistência das configurações de aplicações

AppStream 2.0 adiciona uma política de bucket do Amazon S3 aos buckets que ele cria para evitar que sejam excluídos acidentalmente. Para excluir um bucket S3, primeiro você deve excluir a política do bucket S3. Veja a seguir as políticas de buket que você precisa excluir para pastas base e persistência de configurações de aplicação.

Política de pastas base

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "PreventAccidentalDeletionOfBucket",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:DeleteBucket",
      "Resource": "arn:aws:s3:::appstream2-36fb080bb8-region-code-account-id-without-hyphens"
    }
  ]
}

Política de persistência de confgurações de aplicação.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "PreventAccidentalDeletionOfBucket",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:DeleteBucket",
      "Resource": "arn:aws:s3:::appstream-app-settings-region-code-account-id-without-hyphens-unique-identifier"
     }
   ]
}

Para obter mais informações, consulte Excluir ou esvaziar um bucket no Guia do usuário do Amazon Simple Storage Service.

Restringir o acesso de administrador ao bucket do Amazon S3 para pastas base e persistência das configurações de aplicações

Por padrão, os administradores que podem acessar os buckets do Amazon S3 criados AppStream pela versão 2.0 podem visualizar e modificar o conteúdo que faz parte das pastas iniciais dos usuários e das configurações persistentes do aplicativo. Para restringir o acesso do administrador ao bucket do S3 que contém arquivos de usuários, recomendamos aplicar a política de acesso ao bucket do S3 com base no modelo a seguir:

{
  "Sid": "RestrictedAccess",
  "Effect": "Deny",
  "NotPrincipal": 
  {
    "AWS": [
      "arn:aws:iam::account:role/service-role/AmazonAppStreamServiceAccess",
      "arn:aws:sts::account:assumed-role/AmazonAppStreamServiceAccess/PhotonSession",
      "arn:aws:iam::account:user/IAM-user-name"
    ]
  },
    "Action": "s3:*",
    "Resource": "arn:aws:s3:::home-folder-or-application-settings-persistence-s3-bucket-region-account"
  }
 ]
}

Essa política permite acesso ao bucket do S3 somente aos usuários especificados e ao serviço AppStream 2.0. Para cada IAM usuário que deve ter acesso, replique a seguinte linha:

"arn:aws:iam::account:user/IAM-user-name"

No exemplo a seguir, a política restringe o acesso à pasta inicial do bucket S3 para qualquer pessoa que não seja IAM os usuários marymajor e johnstiles. Também permite o acesso ao serviço AppStream 2.0, na AWS Região Oeste dos EUA (Oregon), com o ID da conta 123456789012.

{
  "Sid": "RestrictedAccess",
  "Effect": "Deny",
  "NotPrincipal": 
  {
    "AWS": [
      "arn:aws:iam::123456789012:role/service-role/AmazonAppStreamServiceAccess",
      "arn:aws:sts::123456789012:assumed-role/AmazonAppStreamServiceAccess/PhotonSession",
      "arn:aws:iam::123456789012:user/marymajor",
      "arn:aws:iam::123456789012:user/johnstiles"
    ]
  },
    "Action": "s3:*",
    "Resource": "arn:aws:s3:::appstream2-36fb080bb8-us-west-2-123456789012"
  }
 ]
}