Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Membatasi Akses Administrator ke Bucket Amazon S3 untuk Folder Rumah dan Persistensi Pengaturan Aplikasi
Secara default, administrator yang dapat mengakses bucket Amazon S3 yang dibuat WorkSpaces oleh Aplikasi dapat melihat dan memodifikasi konten yang merupakan bagian dari folder beranda pengguna dan pengaturan aplikasi persisten. Untuk membatasi akses administrator ke bucket S3 yang berisi file pengguna, sebaiknya gunakan kebijakan akses bucket S3 berdasarkan template berikut:
{ "Sid": "RestrictedAccess", "Effect": "Deny", "NotPrincipal": { "AWS": [ "arn:aws:iam::account:role/service-role/AmazonAppStreamServiceAccess", "arn:aws:sts::account:assumed-role/AmazonAppStreamServiceAccess/PhotonSession", "arn:aws:iam::account:user/IAM-user-name" ] }, "Action": "s3:*", "Resource": "arn:aws:s3:::home-folder-or-application-settings-persistence-s3-bucket-region-account" } ] }
Kebijakan ini memungkinkan akses bucket S3 hanya untuk pengguna yang ditentukan dan ke layanan WorkSpaces Aplikasi. Untuk setiap pengguna IAM yang seharusnya memiliki akses, replikasi baris berikut:
"arn:aws:iam::account:user/IAM-user-name"Dalam contoh berikut, kebijakan membatasi akses ke bucket S3 folder home untuk siapa pun selain pengguna IAM marymajor dan johnstiles. Ini juga memungkinkan akses ke layanan WorkSpaces Aplikasi, di AWS Wilayah AS Barat (Oregon) untuk ID akun 123456789012.
{ "Sid": "RestrictedAccess", "Effect": "Deny", "NotPrincipal": { "AWS": [ "arn:aws:iam::123456789012:role/service-role/AmazonAppStreamServiceAccess", "arn:aws:sts::123456789012:assumed-role/AmazonAppStreamServiceAccess/PhotonSession", "arn:aws:iam::123456789012:user/marymajor", "arn:aws:iam::123456789012:user/johnstiles" ] }, "Action": "s3:*", "Resource": "arn:aws:s3:::appstream2-36fb080bb8-us-west-2-123456789012" } ] }
