本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Amazon S3 存储桶权限
<a name="s3-permissions"></a>

您选择的 Amazon S3 存储桶必须具有存储桶策略，该策略为 WorkSpaces 应用程序服务委托人提供足够的访问权限，以便从 Amazon S3 存储桶访问和下载对象。您需要修改以下存储桶策略，然后将其应用于您打算用于应用程序图标、设置脚本和的 Amazon S3 存储桶 VHDs。有关如何对 Amazon S3 存储桶应用策略的更多信息，请参阅[使用 Amazon S3 控制台添加存储桶策略](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html)。

确保您的 Amazon S3 存储桶的访问控制列表 (ACLs) 处于禁用状态。有关更多信息，请参阅[禁 ACLs 用所有新存储桶和强制执行对象所有权](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ensure-object-ownership.html)。

本节介绍关于存储桶策略的典型使用案例的示例。这些示例策略将 *bucket* 用作资源值。要测试这些策略，您需要将 *user input placeholders* 替换为您自己的信息（例如存储桶名称）。

------
#### [ JSON ]

****  

```
{ 
  "Version":"2012-10-17",		 	 	 
  "Statement": [     
      { 
       "Sid": "AllowAppStream2.0ToRetrieveObjects", 
       "Effect": "Allow", 
       "Principal": { 
          "Service": ["appstream.amazonaws.com"]         
        },
        "Action": ["s3:GetObject"],
        "Resource": [           
           "arn:aws:s3:::bucket/VHD object",
           "arn:aws:s3:::bucket/Setup script object",
           "arn:aws:s3:::bucket/Application icon object",
           "arn:aws:s3:::bucket/Session scripts zip file object"
         ]         
      }      
  ]
}
```

------

**注意**  
存储桶策略示例定义了 WorkSpaces 应用程序可以访问的 S3 存储桶中的特定对象。随着应用程序块的增加，您还可以使用前缀和通配符来简化策略管理。有关存储桶策略的更多信息，请参阅[使用存储桶策略](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html)。有关常见存储桶示例的更多信息，请参阅[存储桶策略示例](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-bucket-policies.html)。

如果您使用的是应用程序块，则 WorkSpaces 应用程序需要额外的权限才能将 WorkSpaces 应用程序包上传到相应的 Amazon S3 存储桶。有关 WorkSpaces 应用程序应用程序块的更多信息，请参阅[WorkSpaces 应用程序应用程序块](appstream-app-blocks.md)。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowAppStream2.0ToPutAndRetrieveObjects",
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "appstream.amazonaws.com"
        ]
      },
      "Action": [
        "s3:GetObject",
        "s3:ListBucket", 
        "s3:PutObject",
        "s3:GetBucketOwnershipControls"
      ],
      "Resource": [
        "arn:aws:s3:::bucket",
        "arn:aws:s3:::bucket/AppStream2/*",
        "arn:aws:s3:::bucket/Setup script object",
        "arn:aws:s3:::bucket/Application icon object",
        "arn:aws:s3:::bucket/Session scripts zip file object"
      ]
    }
  ]
}
```

------