기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# Home 폴더와 애플리케이션 설정 지속성을 위한 Amazon S3 버킷에 대한 관리자 액세스 제한
<a name="s3-iam-policy-restricted-access"></a>

기본적으로 WorkSpaces 애플리케이션에서 생성한 Amazon S3 버킷에 액세스할 수 있는 관리자는 사용자의 홈 폴더 및 영구 애플리케이션 설정의 일부인 콘텐츠를 보고 수정할 수 있습니다. 사용자 파일이 포함된 S3 버킷에 대한 관리자 액세스를 제한해야 한다면 다음 템플릿에 따른 S3 버킷 액세스 정책 적용을 추천합니다.

```
{
  "Sid": "RestrictedAccess",
  "Effect": "Deny",
  "NotPrincipal": 
  {
    "AWS": [
      "arn:aws:iam::account:role/service-role/AmazonAppStreamServiceAccess",
      "arn:aws:sts::account:assumed-role/AmazonAppStreamServiceAccess/PhotonSession",
      "arn:aws:iam::account:user/IAM-user-name"
    ]
  },
    "Action": "s3:*",
    "Resource": "arn:aws:s3:::home-folder-or-application-settings-persistence-s3-bucket-region-account"
  }
 ]
}
```

이 정책은 지정된 사용자 및 WorkSpaces 애플리케이션 서비스에 대해서만 S3 버킷 액세스를 허용합니다. 액세스 권한이 있어야 하는 모든 IAM 사용자의 경우 다음 열을 복사하세요.

```
"arn:aws:iam::account:user/IAM-user-name"
```

다음 예의 정책은 IAM 사용자 marymajor 및 johnstiles 이외의 사용자의 홈 폴더 S3 버킷에 대한 액세스를 제한합니다. 또한 계정 ID 123456789012에 대해 미국 서부(오레곤) AWS 리전의 WorkSpaces 애플리케이션 서비스에 대한 액세스를 허용합니다.

```
{
  "Sid": "RestrictedAccess",
  "Effect": "Deny",
  "NotPrincipal": 
  {
    "AWS": [
      "arn:aws:iam::123456789012:role/service-role/AmazonAppStreamServiceAccess",
      "arn:aws:sts::123456789012:assumed-role/AmazonAppStreamServiceAccess/PhotonSession",
      "arn:aws:iam::123456789012:user/marymajor",
      "arn:aws:iam::123456789012:user/johnstiles"
    ]
  },
    "Action": "s3:*",
    "Resource": "arn:aws:s3:::appstream2-36fb080bb8-us-west-2-123456789012"
  }
 ]
}
```