Menggunakan IAM Kebijakan untuk Mengelola Akses Administrator ke Bucket Amazon S3 untuk Folder Rumah dan Persistensi Pengaturan Aplikasi - Amazon AppStream 2.0
Menghapus Bucket Amazon S3 untuk Folder Rumah dan Persistensi Pengaturan AplikasiMembatasi Akses Administrator ke Bucket Amazon S3 untuk Folder Rumah dan Persistensi Pengaturan Aplikasi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan IAM Kebijakan untuk Mengelola Akses Administrator ke Bucket Amazon S3 untuk Folder Rumah dan Persistensi Pengaturan Aplikasi

Contoh berikut menunjukkan bagaimana Anda dapat menggunakan IAM kebijakan untuk mengelola akses ke bucket Amazon S3 untuk folder beranda dan persistensi setelan aplikasi.

Menghapus Bucket Amazon S3 untuk Folder Rumah dan Persistensi Pengaturan Aplikasi

AppStream 2.0 menambahkan kebijakan bucket Amazon S3 ke bucket yang dibuatnya untuk mencegahnya terhapus secara tidak sengaja. Untuk menghapus bucket S3, Anda harus menghapus kebijakan bucket S3 terlebih dahulu. Berikut ini adalah kebijakan bucket yang harus Anda hapus untuk folder rumah dan persistensi pengaturan aplikasi.

Kebijakan folder rumah

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "PreventAccidentalDeletionOfBucket",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:DeleteBucket",
      "Resource": "arn:aws:s3:::appstream2-36fb080bb8-region-code-account-id-without-hyphens"
    }
  ]
}

Kebijakan ketekunan pengaturan aplikasi

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "PreventAccidentalDeletionOfBucket",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:DeleteBucket",
      "Resource": "arn:aws:s3:::appstream-app-settings-region-code-account-id-without-hyphens-unique-identifier"
     }
   ]
}

Untuk informasi selengkapnya, lihat Menghapus atau Mengosongkan Bucket di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

Membatasi Akses Administrator ke Bucket Amazon S3 untuk Folder Rumah dan Persistensi Pengaturan Aplikasi

Secara default, administrator yang dapat mengakses bucket Amazon S3 yang dibuat AppStream oleh 2.0 dapat melihat dan memodifikasi konten yang merupakan bagian dari folder beranda pengguna dan pengaturan aplikasi persisten. Untuk membatasi akses administrator ke bucket S3 yang berisi file pengguna, sebaiknya terapkan kebijakan akses bucket S3 berdasarkan templat berikut: 

{
  "Sid": "RestrictedAccess",
  "Effect": "Deny",
  "NotPrincipal": 
  {
    "AWS": [
      "arn:aws:iam::account:role/service-role/AmazonAppStreamServiceAccess",
      "arn:aws:sts::account:assumed-role/AmazonAppStreamServiceAccess/PhotonSession",
      "arn:aws:iam::account:user/IAM-user-name"
    ]
  },
    "Action": "s3:*",
    "Resource": "arn:aws:s3:::home-folder-or-application-settings-persistence-s3-bucket-region-account"
  }
 ]
}

Kebijakan ini memungkinkan akses bucket S3 hanya untuk pengguna yang ditentukan dan ke layanan AppStream 2.0. Untuk setiap IAM pengguna yang seharusnya memiliki akses, replikasi baris berikut:

"arn:aws:iam::account:user/IAM-user-name"

Dalam contoh berikut, kebijakan membatasi akses ke bucket S3 folder home untuk siapa pun selain IAM pengguna marymajor dan johnstiles. Ini juga memungkinkan akses ke layanan AppStream 2.0, di AWS Wilayah AS Barat (Oregon) untuk ID akun 123456789012.

{
  "Sid": "RestrictedAccess",
  "Effect": "Deny",
  "NotPrincipal": 
  {
    "AWS": [
      "arn:aws:iam::123456789012:role/service-role/AmazonAppStreamServiceAccess",
      "arn:aws:sts::123456789012:assumed-role/AmazonAppStreamServiceAccess/PhotonSession",
      "arn:aws:iam::123456789012:user/marymajor",
      "arn:aws:iam::123456789012:user/johnstiles"
    ]
  },
    "Action": "s3:*",
    "Resource": "arn:aws:s3:::appstream2-36fb080bb8-us-west-2-123456789012"
  }
 ]
}