기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Home 폴더와 애플리케이션 설정 지속성을 위한 Amazon S3 버킷에 대한 관리자 액세스 제한
기본적으로 WorkSpaces 애플리케이션에서 생성한 Amazon S3 버킷에 액세스할 수 있는 관리자는 사용자의 홈 폴더 및 영구 애플리케이션 설정의 일부인 콘텐츠를 보고 수정할 수 있습니다. 사용자 파일이 포함된 S3 버킷에 대한 관리자 액세스를 제한해야 한다면 다음 템플릿에 따른 S3 버킷 액세스 정책 적용을 추천합니다.
{ "Sid": "RestrictedAccess", "Effect": "Deny", "NotPrincipal": { "AWS": [ "arn:aws:iam::account:role/service-role/AmazonAppStreamServiceAccess", "arn:aws:sts::account:assumed-role/AmazonAppStreamServiceAccess/PhotonSession", "arn:aws:iam::account:user/IAM-user-name" ] }, "Action": "s3:*", "Resource": "arn:aws:s3:::home-folder-or-application-settings-persistence-s3-bucket-region-account" } ] }
이 정책은 지정된 사용자 및 WorkSpaces 애플리케이션 서비스에 대해서만 S3 버킷 액세스를 허용합니다. 액세스 권한이 있어야 하는 모든 IAM 사용자의 경우 다음 열을 복사하세요.
"arn:aws:iam::account:user/IAM-user-name"다음 예의 정책은 IAM 사용자 marymajor 및 johnstiles 이외의 사용자의 홈 폴더 S3 버킷에 대한 액세스를 제한합니다. 또한 계정 ID 123456789012에 대해 미국 서부(오레곤) AWS 리전의 WorkSpaces 애플리케이션 서비스에 대한 액세스를 허용합니다.
{ "Sid": "RestrictedAccess", "Effect": "Deny", "NotPrincipal": { "AWS": [ "arn:aws:iam::123456789012:role/service-role/AmazonAppStreamServiceAccess", "arn:aws:sts::123456789012:assumed-role/AmazonAppStreamServiceAccess/PhotonSession", "arn:aws:iam::123456789012:user/marymajor", "arn:aws:iam::123456789012:user/johnstiles" ] }, "Action": "s3:*", "Resource": "arn:aws:s3:::appstream2-36fb080bb8-us-west-2-123456789012" } ] }
