Amazon S3 存储桶权限 - 亚马逊 AppStream 2.0

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon S3 存储桶权限

您选择的 Amazon S3 存储桶必须具有存储桶策略,该策略必须为 AppStream 2.0 服务主体提供足够的访问权限,以便从 Amazon S3 存储桶访问和下载对象。您需要修改以下存储桶策略,然后将其应用于您打算用于应用程序图标、设置脚本和的 Amazon S3 存储桶VHDs。有关如何对 Amazon S3 存储桶应用策略的更多信息,请参阅使用 Amazon S3 控制台添加存储桶策略

确保您的 Amazon S3 存储桶的访问控制列表 (ACLs) 处于禁用状态。有关更多信息,请参阅禁ACLs用所有新存储桶和强制执行对象所有权

本节介绍关于存储桶策略的典型使用案例的示例。这些示例策略将 bucket 用作资源值。要测试这些策略,您需要将 user input placeholders 替换为您自己的信息(例如存储桶名称)。

{ 
  "Version": "2012-10-17",
  "Statement": [     
      { 
       "Sid": "AllowAppStream2.0ToRetrieveObjects", 
       "Effect": "Allow", 
       "Principal": { 
          "Service": ["appstream.amazonaws.com"]         
        },
        "Action": ["s3:GetObject"],
        "Resource": [           
           "arn:aws:s3:::bucket/VHD object",
           "arn:aws:s3:::bucket/Setup script object",
           "arn:aws:s3:::bucket/Application icon object",
           "arn:aws:s3:::bucket/Session scripts zip file object"
         ]         
      }      
  ]
}
注意

存储桶策略示例定义了 AppStream 2.0 可以访问的 S3 存储桶中的特定对象。随着应用程序块的增加,您还可以使用前缀和通配符来简化策略管理。有关存储桶策略的更多信息,请参阅使用存储桶策略。有关常见存储桶示例的更多信息,请参阅存储桶策略示例

如果您使用的是 AppStream 2.0 应用程序块,那么 AppStream 2.0 需要额外的权限才能将应用程序包上传到相应的 Amazon S3 存储桶。有关 AppStream 2.0 应用区块的更多信息,请参阅AppStream 2.0 应用方块

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowAppStream2.0ToPutAndRetrieveObjects",
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "appstream.amazonaws.com"
        ]
      },
      "Action": [
        "s3:GetObject",
        "s3:ListBucket", 
        "s3:PutObject",
        "s3:GetBucketOwnershipControls"
      ],
      "Resource": [
        "arn:aws:s3:::bucket",
        "arn:aws:s3:::bucket/AppStream2/*",
        "arn:aws:s3:::bucket/Setup script object",
        "arn:aws:s3:::bucket/Application icon object",
        "arn:aws:s3:::bucket/Session scripts zip file object"
      ]
    }
  ]
}