Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Uso de las políticas de IAM para administrar el acceso de administrador al bucket de Amazon S3 para las carpetas de inicio y persistencia de configuración de la aplicación
En los siguientes ejemplos, se muestra cómo puede utilizar las políticas de IAM para administrar el acceso al bucket de Amazon S3 para las carpetas de inicio y persistencia de configuración de la aplicación.
Ejemplos
Eliminación del bucket de Amazon S3 para carpetas de inicio y persistencia de configuración de la aplicación
AppStream 2.0 añade una política de bucket de Amazon S3 a los buckets que crea para impedir que se eliminen accidentalmente. Para eliminar un bucket de S3, primero debe eliminar la política del bucket de S3. A continuación, se muestran las políticas de bucket que debe eliminar para las carpetas de inicio y la persistencia de configuración de la aplicación.
Política de carpetas de inicio
{ "Version": "2012-10-17", "Statement": [ { "Sid": "PreventAccidentalDeletionOfBucket", "Effect": "Deny", "Principal": "*", "Action": "s3:DeleteBucket", "Resource": "arn:aws:s3:::appstream2-36fb080bb8-region-code-account-id-without-hyphens" } ] }
Política de persistencia de configuración de la aplicación
{ "Version": "2012-10-17", "Statement": [ { "Sid": "PreventAccidentalDeletionOfBucket", "Effect": "Deny", "Principal": "*", "Action": "s3:DeleteBucket", "Resource": "arn:aws:s3:::appstream-app-settings-region-code-account-id-without-hyphens-unique-identifier" } ] }
Para obtener más información, consulte Eliminar o vaciar un bucket en la Guía del usuario de Amazon Simple Storage Service.
Restricción de acceso del administrador al bucket de Amazon S3 para las carpetas de inicio y persistencia de configuración de la aplicación
De forma predeterminada, los administradores que pueden obtener acceso al bucket de Amazon S3 creado por AppStream 2.0 pueden ver y modificar el contenido que forma parte de las carpetas de inicio de los usuarios y la configuración persistente de la aplicación. Para restringir el acceso de administrador a los bucket de S3 que contienen los archivos de usuario, recomendamos aplicar la política de acceso del bucket de S3 basada en la siguiente plantilla:
{ "Sid": "RestrictedAccess", "Effect": "Deny", "NotPrincipal": { "AWS": [ "arn:aws:iam::account:role/service-role/AmazonAppStreamServiceAccess", "arn:aws:sts::account:assumed-role/AmazonAppStreamServiceAccess/PhotonSession", "arn:aws:iam::account:user/IAM-user-name" ] }, "Action": "s3:*", "Resource": "arn:aws:s3:::home-folder-or-application-settings-persistence-s3-bucket-region-account" } ] }
Esta política permite al bucket de S3 únicamente el acceso a los usuarios especificados y al servicio AppStream 2.0. Para cada usuario de IAM que necesite acceso, repita la siguiente línea:
"arn:aws:iam::account:user/IAM-user-name"En el ejemplo siguiente, la política limita el acceso al bucket de S3 de la carpeta de inicio a cualquier otro usuario de IAM que no sea marymajor y johnstiles. También permite el acceso al servicio de AppStream 2.0, en la región de AWS de Oeste de EE. UU. (Oregón) para el ID de cuenta 123456789012.
{ "Sid": "RestrictedAccess", "Effect": "Deny", "NotPrincipal": { "AWS": [ "arn:aws:iam::123456789012:role/service-role/AmazonAppStreamServiceAccess", "arn:aws:sts::123456789012:assumed-role/AmazonAppStreamServiceAccess/PhotonSession", "arn:aws:iam::123456789012:user/marymajor", "arn:aws:iam::123456789012:user/johnstiles" ] }, "Action": "s3:*", "Resource": "arn:aws:s3:::appstream2-36fb080bb8-us-west-2-123456789012" } ] }
