本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
限制管理員存取用於主資料夾和應用程式設定持續性的 Amazon S3 儲存貯體
根據預設,如果管理員可以存取 AppStream 2.0 建立的 Amazon S3 儲存貯體,即可檢視和修改屬於使用者主資料夾和持續性應用程式設定的內容。若要限制管理員存取含有使用者檔案的 S3 儲存貯體,建議您依據以下範本套用 S3 儲存貯體存取政策:
{ "Sid": "RestrictedAccess", "Effect": "Deny", "NotPrincipal": { "AWS": [ "arn:aws:iam::account:role/service-role/AmazonAppStreamServiceAccess", "arn:aws:sts::account:assumed-role/AmazonAppStreamServiceAccess/PhotonSession", "arn:aws:iam::account:user/IAM-user-name" ] }, "Action": "s3:*", "Resource": "arn:aws:s3:::home-folder-or-application-settings-persistence-s3-bucket-region-account" } ] }
這個政策可以只讓指定的使用者存取 S3 儲存貯體和 AppStream 2.0 服務。針對每個應具備存取權的 IAM 使用者,複寫以下這一行:
"arn:aws:iam::account:user/IAM-user-name"在下列範例中,政策會將主資料夾 S3 儲存貯體的存取權限制為 IAM 使用者 johnstiles 和 marymajor 以外的所有人。它也允許存取帳戶 ID 為 123456789012 的美國西部 (奧勒岡) AWS 區域 AppStream 2.0 服務。
{ "Sid": "RestrictedAccess", "Effect": "Deny", "NotPrincipal": { "AWS": [ "arn:aws:iam::123456789012:role/service-role/AmazonAppStreamServiceAccess", "arn:aws:sts::123456789012:assumed-role/AmazonAppStreamServiceAccess/PhotonSession", "arn:aws:iam::123456789012:user/marymajor", "arn:aws:iam::123456789012:user/johnstiles" ] }, "Action": "s3:*", "Resource": "arn:aws:s3:::appstream2-36fb080bb8-us-west-2-123456789012" } ] }
