Einschränken des Administratorzugriffs auf den Amazon-S3-Bucket für Basisordner und die Persistenz von Anwendungseinstellungen

Standardmäßig können Administratoren, die auf die von WorkSpaces Applications erstellten Amazon S3 S3-Buckets zugreifen können, Inhalte anzeigen und ändern, die Teil der Home-Ordner und persistenten Anwendungseinstellungen der Benutzer sind. Um den Administratorzugriff auf S3-Buckets mit Benutzerdateien einzuschränken, empfehlen wir, die S3-Bucket-Zugriffsrichtlinie basierend auf der folgenden Vorlage anzuwenden:

{
  "Sid": "RestrictedAccess",
  "Effect": "Deny",
  "NotPrincipal": 
  {
    "AWS": [
      "arn:aws:iam::account:role/service-role/AmazonAppStreamServiceAccess",
      "arn:aws:sts::account:assumed-role/AmazonAppStreamServiceAccess/PhotonSession",
      "arn:aws:iam::account:user/IAM-user-name"
    ]
  },
    "Action": "s3:*",
    "Resource": "arn:aws:s3:::home-folder-or-application-settings-persistence-s3-bucket-region-account"
  }
 ]
}

Diese Richtlinie gewährt nur den angegebenen Benutzern und dem WorkSpaces Applications-Service Zugriff auf den S3-Bucket. Für jeden IAM-Benutzer, der Zugriff haben soll, replizieren Sie die folgende Zeile:

"arn:aws:iam::account:user/IAM-user-name"

Im folgenden Beispiel schränkt die Richtlinie den Zugriff auf den S3-Bucket des Basisordners für jeden anderen als die IAM-Benutzer marymajor und johnstiles ein. Sie ermöglicht auch den Zugriff auf den WorkSpaces Anwendungsdienst in der AWS Region USA West (Oregon) für die Konto-ID 123456789012.

{
  "Sid": "RestrictedAccess",
  "Effect": "Deny",
  "NotPrincipal": 
  {
    "AWS": [
      "arn:aws:iam::123456789012:role/service-role/AmazonAppStreamServiceAccess",
      "arn:aws:sts::123456789012:assumed-role/AmazonAppStreamServiceAccess/PhotonSession",
      "arn:aws:iam::123456789012:user/marymajor",
      "arn:aws:iam::123456789012:user/johnstiles"
    ]
  },
    "Action": "s3:*",
    "Resource": "arn:aws:s3:::appstream2-36fb080bb8-us-west-2-123456789012"
  }
 ]
}