在 AppStream 2.0 流媒体实例IAM中使用角色的最佳实践

限制您授予的 AWS API操作和资源的权限。

在创建IAM策略并将其附加到与 AppStream 2.0 流媒体实例关联的IAM角色时，请遵循最低权限原则。当您使用需要访问 AWS API操作或资源的应用程序或脚本时，请确定所需的特定操作和资源。然后，创建允许应用程序或脚本仅执行这些操作的策略。有关更多信息，请参阅《IAM用户指南》中的 “授予最低权限”。

为每个 AppStream 2.0 资源创建一个IAM角色。

为每个 AppStream 2.0 资源创建唯一IAM角色是一种遵循最低权限原则的做法。这样做还允许您修改一个资源的权限，而不会影响其他资源。

限制可以使用凭证的位置。

IAM策略允许您定义使用您的IAM角色访问资源的条件。例如，您可以包含条件以指定请求可以来自的 IP 地址范围。这样做可以防止在您的环境之外使用凭证。有关更多信息，请参阅《IAM用户指南》中的 “使用策略条件提高安全性”。