本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
限制管理员访问用于主文件夹和应用程序设置持久性的 Amazon S3 存储桶
默认情况下,可以访问由 AppStream 2.0 创建的 Amazon S3 存储桶的管理员可以查看和修改用户主文件夹和永久应用程序设置中的内容。要限制管理员对包含用户文件的 S3 存储桶的访问,我们建议根据以下模板应用 S3 存储桶访问策略:
{ "Sid": "RestrictedAccess", "Effect": "Deny", "NotPrincipal": { "AWS": [ "arn:aws:iam::account:role/service-role/AmazonAppStreamServiceAccess", "arn:aws:sts::account:assumed-role/AmazonAppStreamServiceAccess/PhotonSession", "arn:aws:iam::account:user/IAM-user-name" ] }, "Action": "s3:*", "Resource": "arn:aws:s3:::home-folder-or-application-settings-persistence-s3-bucket-region-account" } ] }
此策略仅允许指定用户和 AppStream 2.0 服务访问 S3 存储桶。对于每个应该拥有访问权限的IAM用户,请复制以下行:
"arn:aws:iam::account:user/IAM-user-name"在以下示例中,该策略限制除IAM用户 marymajor 和 johnstiles 以外的任何人访问主文件夹 S3 存储桶。它还允许在美国西部 AWS 地区(俄勒冈州)使用账户编号为123456789012的 AppStream 2.0服务。
{ "Sid": "RestrictedAccess", "Effect": "Deny", "NotPrincipal": { "AWS": [ "arn:aws:iam::123456789012:role/service-role/AmazonAppStreamServiceAccess", "arn:aws:sts::123456789012:assumed-role/AmazonAppStreamServiceAccess/PhotonSession", "arn:aws:iam::123456789012:user/marymajor", "arn:aws:iam::123456789012:user/johnstiles" ] }, "Action": "s3:*", "Resource": "arn:aws:s3:::appstream2-36fb080bb8-us-west-2-123456789012" } ] }
