Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwendung von IAM Richtlinien zur Verwaltung des Administratorzugriffs auf den Amazon S3 S3-Bucket für die Persistenz von Basisordnern und Anwendungseinstellungen
Die folgenden Beispiele zeigen, wie Sie mithilfe von IAM Richtlinien den Zugriff auf den Amazon S3 S3-Bucket für Basisordner und die Persistenz von Anwendungseinstellungen verwalten können.
Beispiele
Löschen des Amazon-S3-Buckets für Basisordner und der Persistenz von Anwendungseinstellungen
AppStream 2.0 fügt den erstellten Buckets eine Amazon S3 S3-Bucket-Richtlinie hinzu, um zu verhindern, dass sie versehentlich gelöscht werden. Um einen S3-Bucket löschen zu können, müssen Sie zuerst die S3-Bucket-Richtlinie löschen. Im Folgenden werden die Bucket-Richtlinien aufgeführt, die Sie für Basisordner und die Persistenz von Anwendungseinstellungen löschen müssen.
Richtlinie für Basisordner
{ "Version": "2012-10-17", "Statement": [ { "Sid": "PreventAccidentalDeletionOfBucket", "Effect": "Deny", "Principal": "*", "Action": "s3:DeleteBucket", "Resource": "arn:aws:s3:::appstream2-36fb080bb8-region-code-account-id-without-hyphens" } ] }
Richtlinie für die Persistenz von Anwendungseinstellungen
{ "Version": "2012-10-17", "Statement": [ { "Sid": "PreventAccidentalDeletionOfBucket", "Effect": "Deny", "Principal": "*", "Action": "s3:DeleteBucket", "Resource": "arn:aws:s3:::appstream-app-settings-region-code-account-id-without-hyphens-unique-identifier" } ] }
Weitere Informationen erhalten Sie unter Löschen oder Leeren von Buckets im Amazon-Simple-Storage-Service-Benutzerhandbuch.
Einschränken des Administratorzugriffs auf den Amazon-S3-Bucket für Basisordner und die Persistenz von Anwendungseinstellungen
Standardmäßig können Administratoren, die auf die mit AppStream 2.0 erstellten Amazon S3 S3-Buckets zugreifen können, Inhalte anzeigen und ändern, die Teil der Home-Ordner und persistenten Anwendungseinstellungen der Benutzer sind. Um den Administratorzugriff auf S3-Buckets mit Benutzerdateien einzuschränken, empfehlen wir, die S3-Bucket-Zugriffsrichtlinie basierend auf der folgenden Vorlage anzuwenden:
{ "Sid": "RestrictedAccess", "Effect": "Deny", "NotPrincipal": { "AWS": [ "arn:aws:iam::account:role/service-role/AmazonAppStreamServiceAccess", "arn:aws:sts::account:assumed-role/AmazonAppStreamServiceAccess/PhotonSession", "arn:aws:iam::account:user/IAM-user-name" ] }, "Action": "s3:*", "Resource": "arn:aws:s3:::home-folder-or-application-settings-persistence-s3-bucket-region-account" } ] }
Diese Richtlinie gewährt nur den angegebenen Benutzern und dem AppStream 2.0-Service Zugriff auf den S3-Bucket. Replizieren Sie für jeden IAM Benutzer, der Zugriff haben sollte, die folgende Zeile:
"arn:aws:iam::account:user/IAM-user-name"Im folgenden Beispiel schränkt die Richtlinie den Zugriff auf den Basisordner S3-Bucket für alle IAM Benutzer als die Benutzer marymajor und johnstiles ein. Sie ermöglicht auch den Zugriff auf den AppStream 2.0-Dienst in der AWS Region USA West (Oregon) für die Konto-ID 123456789012.
{ "Sid": "RestrictedAccess", "Effect": "Deny", "NotPrincipal": { "AWS": [ "arn:aws:iam::123456789012:role/service-role/AmazonAppStreamServiceAccess", "arn:aws:sts::123456789012:assumed-role/AmazonAppStreamServiceAccess/PhotonSession", "arn:aws:iam::123456789012:user/marymajor", "arn:aws:iam::123456789012:user/johnstiles" ] }, "Action": "s3:*", "Resource": "arn:aws:s3:::appstream2-36fb080bb8-us-west-2-123456789012" } ] }
