Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Uso de IAM políticas para gestionar el acceso de los administradores al bucket de Amazon S3 para la persistencia de las carpetas de inicio y la configuración de las aplicaciones
Los siguientes ejemplos muestran cómo puede usar IAM las políticas para administrar el acceso al bucket de Amazon S3 para las carpetas de inicio y la persistencia de la configuración de las aplicaciones.
Ejemplos
Eliminación del bucket de Amazon S3 para carpetas de inicio y persistencia de configuración de la aplicación
AppStream La versión 2.0 añade una política de bucket de Amazon S3 a los buckets que crea para evitar que se eliminen accidentalmente. Para eliminar un bucket de S3, primero debe eliminar la política del bucket de S3. A continuación, se muestran las políticas de bucket que debe eliminar para las carpetas de inicio y la persistencia de configuración de la aplicación.
Política de carpetas de inicio
{ "Version": "2012-10-17", "Statement": [ { "Sid": "PreventAccidentalDeletionOfBucket", "Effect": "Deny", "Principal": "*", "Action": "s3:DeleteBucket", "Resource": "arn:aws:s3:::appstream2-36fb080bb8-region-code-account-id-without-hyphens" } ] }
Política de persistencia de configuración de la aplicación
{ "Version": "2012-10-17", "Statement": [ { "Sid": "PreventAccidentalDeletionOfBucket", "Effect": "Deny", "Principal": "*", "Action": "s3:DeleteBucket", "Resource": "arn:aws:s3:::appstream-app-settings-region-code-account-id-without-hyphens-unique-identifier" } ] }
Para obtener más información, consulte Eliminar o vaciar un bucket en la Guía del usuario de Amazon Simple Storage Service.
Restricción de acceso del administrador al bucket de Amazon S3 para las carpetas de inicio y persistencia de configuración de la aplicación
De forma predeterminada, los administradores que pueden acceder a los buckets de Amazon S3 creados por la AppStream versión 2.0 pueden ver y modificar el contenido que forma parte de las carpetas de inicio de los usuarios y de la configuración persistente de las aplicaciones. Para restringir el acceso de administrador a los bucket de S3 que contienen los archivos de usuario, recomendamos aplicar la política de acceso del bucket de S3 basada en la siguiente plantilla:
{ "Sid": "RestrictedAccess", "Effect": "Deny", "NotPrincipal": { "AWS": [ "arn:aws:iam::account:role/service-role/AmazonAppStreamServiceAccess", "arn:aws:sts::account:assumed-role/AmazonAppStreamServiceAccess/PhotonSession", "arn:aws:iam::account:user/IAM-user-name" ] }, "Action": "s3:*", "Resource": "arn:aws:s3:::home-folder-or-application-settings-persistence-s3-bucket-region-account" } ] }
Esta política permite el acceso al bucket de S3 solo a los usuarios especificados y al servicio AppStream 2.0. Para cada IAM usuario que deba tener acceso, replique la siguiente línea:
"arn:aws:iam::account:user/IAM-user-name"En el siguiente ejemplo, la política restringe el acceso al bucket S3 de la carpeta principal a cualquier IAM usuario que no sea marymajor y johnstiles. También permite el acceso al servicio AppStream 2.0, en la AWS región EE.UU. Oeste (Oregón) con el ID de cuenta 123456789012.
{ "Sid": "RestrictedAccess", "Effect": "Deny", "NotPrincipal": { "AWS": [ "arn:aws:iam::123456789012:role/service-role/AmazonAppStreamServiceAccess", "arn:aws:sts::123456789012:assumed-role/AmazonAppStreamServiceAccess/PhotonSession", "arn:aws:iam::123456789012:user/marymajor", "arn:aws:iam::123456789012:user/johnstiles" ] }, "Action": "s3:*", "Resource": "arn:aws:s3:::appstream2-36fb080bb8-us-west-2-123456789012" } ] }
