Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utilisation des politiques IAM pour gérer l'accès administrateur au compartiment Amazon S3 pour les dossiers de base et la persistance des paramètres d'application
Les exemples suivants montrent comment utiliser des politiques IAM pour gérer l'accès au compartiment Amazon S3 pour les dossiers de base et la persistance des paramètres d'application.
Exemples
Suppression du compartiment Amazon S3 pour les dossiers de base et la persistance des paramètres d'application
AppStream 2.0 ajoute une stratégie de compartiment Amazon S3 aux compartiments qu'il crée afin d'empêcher leur suppression accidentelle. Pour supprimer un compartiment S3, vous devez d'abord supprimer la stratégie de compartiment S3. Voici les stratégies de compartiment que vous devez supprimer pour les dossiers de base et la persistance des paramètres d'application.
Stratégie des dossiers de base
{ "Version": "2012-10-17", "Statement": [ { "Sid": "PreventAccidentalDeletionOfBucket", "Effect": "Deny", "Principal": "*", "Action": "s3:DeleteBucket", "Resource": "arn:aws:s3:::appstream2-36fb080bb8-region-code-account-id-without-hyphens" } ] }
Stratégie de persistance des paramètres d'application
{ "Version": "2012-10-17", "Statement": [ { "Sid": "PreventAccidentalDeletionOfBucket", "Effect": "Deny", "Principal": "*", "Action": "s3:DeleteBucket", "Resource": "arn:aws:s3:::appstream-app-settings-region-code-account-id-without-hyphens-unique-identifier" } ] }
Pour plus d'informations, consultez Suppression d'un compartiment dans le Guide de l'utilisateur Amazon Simple Storage Service.
Restriction de l'accès administrateur au compartiment Amazon S3 pour les dossiers de base et la persistance des paramètres d'application
Par défaut, les administrateurs qui peuvent accéder aux compartiments Amazon S3 créés par AppStream 2.0 peuvent consulter et modifier le contenu des dossiers de base et les paramètres d'application persistants des utilisateurs. Pour limiter l'accès de l'administrateur aux compartiments S3 qui contiennent les fichiers de l'utilisateur, nous vous recommandons d'appliquer la stratégie d'accès du compartiment S3 en fonction du modèle suivant :
{ "Sid": "RestrictedAccess", "Effect": "Deny", "NotPrincipal": { "AWS": [ "arn:aws:iam::account:role/service-role/AmazonAppStreamServiceAccess", "arn:aws:sts::account:assumed-role/AmazonAppStreamServiceAccess/PhotonSession", "arn:aws:iam::account:user/IAM-user-name" ] }, "Action": "s3:*", "Resource": "arn:aws:s3:::home-folder-or-application-settings-persistence-s3-bucket-region-account" } ] }
Cette stratégie autorise l'accès au compartiment S3 uniquement aux utilisateurs spécifiés et au service AppStream 2.0. Pour chaque utilisateur IAM qui doit disposer d'un accès, répliquez la ligne suivante :
"arn:aws:iam::account:user/IAM-user-name"Dans l'exemple suivant, la stratégie restreint l'accès au compartiment S3 des dossiers de base pour tout autre utilisateur que les utilisateurs IAM marymajor et johnstiles. Elle autorise également l'accès au service AppStream 2.0 dans la région AWS USA Ouest (Oregon) pour l'ID de compte 123456789012.
{ "Sid": "RestrictedAccess", "Effect": "Deny", "NotPrincipal": { "AWS": [ "arn:aws:iam::123456789012:role/service-role/AmazonAppStreamServiceAccess", "arn:aws:sts::123456789012:assumed-role/AmazonAppStreamServiceAccess/PhotonSession", "arn:aws:iam::123456789012:user/marymajor", "arn:aws:iam::123456789012:user/johnstiles" ] }, "Action": "s3:*", "Resource": "arn:aws:s3:::appstream2-36fb080bb8-us-west-2-123456789012" } ] }
