Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Utilizzo delle policy IAM per la gestione dell'accesso amministratore al bucket Amazon S3 per le home directory e la persistenza delle impostazioni dell'applicazione
I seguenti esempi mostrano come è possibile utilizzare le policy IAM per gestire l'accesso al bucket Amazon S3 per le home directory e la persistenza delle impostazioni dell'applicazione.
Esempi
Eliminazione del bucket Amazon S3 per le home directory e la persistenza delle impostazioni dell'applicazione
AppStream 2.0 aggiunge una policy sui bucket di Amazon S3 ai bucket che crea per evitare che vengano eliminati accidentalmente. Per eliminare un bucket S3, devi eliminare prima la policy del bucket S3. Di seguito sono elencate le policy del bucket che devono essere eliminate per le home directory e la persistenza delle impostazioni dell'applicazione.
Policy per le home directory
{ "Version": "2012-10-17", "Statement": [ { "Sid": "PreventAccidentalDeletionOfBucket", "Effect": "Deny", "Principal": "*", "Action": "s3:DeleteBucket", "Resource": "arn:aws:s3:::appstream2-36fb080bb8-region-code-account-id-without-hyphens" } ] }
Policy di persistenza delle impostazioni dell'applicazione
{ "Version": "2012-10-17", "Statement": [ { "Sid": "PreventAccidentalDeletionOfBucket", "Effect": "Deny", "Principal": "*", "Action": "s3:DeleteBucket", "Resource": "arn:aws:s3:::appstream-app-settings-region-code-account-id-without-hyphens-unique-identifier" } ] }
Per ulteriori informazioni, consulta Eliminazione di un bucket nella Guida per l'utente di Amazon Simple Storage Service.
Limitazione dell'accesso amministratore al bucket Amazon S3 per le home directory e la persistenza delle impostazioni dell'applicazione
Per impostazione predefinita, gli amministratori che possono accedere ai bucket Amazon S3 creati AppStream dalla versione 2.0 possono visualizzare e modificare i contenuti che fanno parte delle cartelle home degli utenti e delle impostazioni persistenti delle applicazioni. Per limitare l'accesso amministratore ai bucket S3 che contengono i file dell'utente, consigliamo di applicare le policy di accesso dei bucket S3 basate sul modello seguente:
{ "Sid": "RestrictedAccess", "Effect": "Deny", "NotPrincipal": { "AWS": [ "arn:aws:iam::account:role/service-role/AmazonAppStreamServiceAccess", "arn:aws:sts::account:assumed-role/AmazonAppStreamServiceAccess/PhotonSession", "arn:aws:iam::account:user/IAM-user-name" ] }, "Action": "s3:*", "Resource": "arn:aws:s3:::home-folder-or-application-settings-persistence-s3-bucket-region-account" } ] }
Questa policy consente l'accesso ai bucket S3 solo agli utenti specificati e al servizio 2.0. AppStream Per ogni utente IAM a cui consentire l'accesso, replica la riga seguente:
"arn:aws:iam::account:user/IAM-user-name"In questo esempio, la policy limita l'accesso al bucket S3 della home directory a chiunque, tranne che agli utenti IAM marymajor e johnstiles. Consente inoltre l'accesso al servizio AppStream 2.0, nella AWS regione degli Stati Uniti occidentali (Oregon) per l'account ID 123456789012.
{ "Sid": "RestrictedAccess", "Effect": "Deny", "NotPrincipal": { "AWS": [ "arn:aws:iam::123456789012:role/service-role/AmazonAppStreamServiceAccess", "arn:aws:sts::123456789012:assumed-role/AmazonAppStreamServiceAccess/PhotonSession", "arn:aws:iam::123456789012:user/marymajor", "arn:aws:iam::123456789012:user/johnstiles" ] }, "Action": "s3:*", "Resource": "arn:aws:s3:::appstream2-36fb080bb8-us-west-2-123456789012" } ] }
