Restricción de acceso del administrador al bucket de Amazon S3 para las carpetas de inicio y persistencia de configuración de la aplicación
De forma predeterminada, los administradores que pueden obtener acceso al bucket de Amazon S3 creado por AppStream 2.0 pueden ver y modificar el contenido que forma parte de las carpetas de inicio de los usuarios y la configuración persistente de la aplicación. Para restringir el acceso de administrador a los bucket de S3 que contienen los archivos de usuario, recomendamos aplicar la política de acceso del bucket de S3 basada en la siguiente plantilla:
{ "Sid": "RestrictedAccess", "Effect": "Deny", "NotPrincipal": { "AWS": [ "arn:aws:iam::account:role/service-role/AmazonAppStreamServiceAccess", "arn:aws:sts::account:assumed-role/AmazonAppStreamServiceAccess/PhotonSession", "arn:aws:iam::account:user/IAM-user-name" ] }, "Action": "s3:*", "Resource": "arn:aws:s3:::home-folder-or-application-settings-persistence-s3-bucket-region-account" } ] }
Esta política permite al bucket de S3 únicamente el acceso a los usuarios especificados y al servicio AppStream 2.0. Para cada usuario de IAM que necesite acceso, repita la siguiente línea:
"arn:aws:iam::account:user/IAM-user-name"En el ejemplo siguiente, la política limita el acceso al bucket de S3 de la carpeta de inicio a cualquier otro usuario de IAM que no sea marymajor y johnstiles. También permite el acceso al servicio de AppStream 2.0, en la región de AWS de Oeste de EE. UU. (Oregón) para el ID de cuenta 123456789012.
{ "Sid": "RestrictedAccess", "Effect": "Deny", "NotPrincipal": { "AWS": [ "arn:aws:iam::123456789012:role/service-role/AmazonAppStreamServiceAccess", "arn:aws:sts::123456789012:assumed-role/AmazonAppStreamServiceAccess/PhotonSession", "arn:aws:iam::123456789012:user/marymajor", "arn:aws:iam::123456789012:user/johnstiles" ] }, "Action": "s3:*", "Resource": "arn:aws:s3:::appstream2-36fb080bb8-us-west-2-123456789012" } ] }
