Verwenden von IAM-Richtlinien zum Verwalten des Administratorzugriffs auf den Amazon-S3-Bucket für Basisordner und die Persistenz von Anwendungseinstellungen - Amazon AppStream 2.0

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von IAM-Richtlinien zum Verwalten des Administratorzugriffs auf den Amazon-S3-Bucket für Basisordner und die Persistenz von Anwendungseinstellungen

Die folgenden Beispiele zeigen, wie Sie mithilfe von IAM-Richtlinien den Zugriff auf den Amazon-S3-Bucket für Basisordner und die Persistenz von Anwendungseinstellungen verwalten können.

Löschen des Amazon-S3-Buckets für Basisordner und der Persistenz von Anwendungseinstellungen

AppStream 2.0 fügt eine Amazon-S3-Bucket-Richtlinie zu den Buckets hinzu, die es erstellt, um zu verhindern, dass sie versehentlich gelöscht werden. Um einen S3-Bucket löschen zu können, müssen Sie zuerst die S3-Bucket-Richtlinie löschen. Im Folgenden werden die Bucket-Richtlinien aufgeführt, die Sie für Basisordner und die Persistenz von Anwendungseinstellungen löschen müssen.

Richtlinie für Basisordner

{ "Version": "2012-10-17", "Statement": [ { "Sid": "PreventAccidentalDeletionOfBucket", "Effect": "Deny", "Principal": "*", "Action": "s3:DeleteBucket", "Resource": "arn:aws:s3:::appstream2-36fb080bb8-region-code-account-id-without-hyphens" } ] }

Richtlinie für die Persistenz von Anwendungseinstellungen

{ "Version": "2012-10-17", "Statement": [ { "Sid": "PreventAccidentalDeletionOfBucket", "Effect": "Deny", "Principal": "*", "Action": "s3:DeleteBucket", "Resource": "arn:aws:s3:::appstream-app-settings-region-code-account-id-without-hyphens-unique-identifier" } ] }

Weitere Informationen erhalten Sie unter Löschen oder Leeren von Buckets im Amazon-Simple-Storage-Service-Benutzerhandbuch.

Einschränken des Administratorzugriffs auf den Amazon-S3-Bucket für Basisordner und die Persistenz von Anwendungseinstellungen

Standardmäßig können Administratoren, die auf die von AppStream 2.0 erstellten Amazon-S3-Buckets zugreifen können, Inhalte anzeigen und ändern, die Teil der Basisordner und der persistenten Anwendungseinstellungen von Benutzern sind. Um den Administratorzugriff auf S3-Buckets mit Benutzerdateien einzuschränken, empfehlen wir, die S3-Bucket-Zugriffsrichtlinie basierend auf der folgenden Vorlage anzuwenden:

{ "Sid": "RestrictedAccess", "Effect": "Deny", "NotPrincipal": { "AWS": [ "arn:aws:iam::account:role/service-role/AmazonAppStreamServiceAccess", "arn:aws:sts::account:assumed-role/AmazonAppStreamServiceAccess/PhotonSession", "arn:aws:iam::account:user/IAM-user-name" ] }, "Action": "s3:*", "Resource": "arn:aws:s3:::home-folder-or-application-settings-persistence-s3-bucket-region-account" } ] }

Diese Richtlinie gewährt nur den angegebenen Benutzern und dem AppStream-2.0-Service Zugriff auf S3-Buckets. Für jeden IAM-Benutzer, der Zugriff haben soll, replizieren Sie die folgende Zeile:

"arn:aws:iam::account:user/IAM-user-name"

Im folgenden Beispiel schränkt die Richtlinie den Zugriff auf den S3-Bucket des Basisordners für jeden anderen als die IAM-Benutzer marymajor und johnstiles ein. Dadurch wird auch dem AppStream-2.0-Service in der AWS-Region "USA West (Oregon)" für die Konto-ID 123456789012 Zugriff gewährt.

{ "Sid": "RestrictedAccess", "Effect": "Deny", "NotPrincipal": { "AWS": [ "arn:aws:iam::123456789012:role/service-role/AmazonAppStreamServiceAccess", "arn:aws:sts::123456789012:assumed-role/AmazonAppStreamServiceAccess/PhotonSession", "arn:aws:iam::123456789012:user/marymajor", "arn:aws:iam::123456789012:user/johnstiles" ] }, "Action": "s3:*", "Resource": "arn:aws:s3:::appstream2-36fb080bb8-us-west-2-123456789012" } ] }