Restringir o acesso de administrador ao bucket do Amazon S3 para pastas base e persistência das configurações de aplicações
Por padrão, os administradores que podem acessar os buckets do Amazon S3 criados pelo AppStream 2.0 podem visualizar e modificar conteúdo que faz parte das pastas base dos usuários e das configurações persistentes de aplicações. Para restringir o acesso do administrador ao bucket do S3 que contém arquivos de usuários, recomendamos aplicar a política de acesso ao bucket do S3 com base no modelo a seguir:
{ "Sid": "RestrictedAccess", "Effect": "Deny", "NotPrincipal": { "AWS": [ "arn:aws:iam::account:role/service-role/AmazonAppStreamServiceAccess", "arn:aws:sts::account:assumed-role/AmazonAppStreamServiceAccess/PhotonSession", "arn:aws:iam::account:user/IAM-user-name" ] }, "Action": "s3:*", "Resource": "arn:aws:s3:::home-folder-or-application-settings-persistence-s3-bucket-region-account" } ] }
Essa política concede acesso ao bucket do S3 apenas aos usuários especificados e ao serviço AppStream 2.0. Para cada usuário do IAM que precise ter acesso, replique a seguinte linha:
"arn:aws:iam::account:user/IAM-user-name"No exemplo a seguir, a política restringe o acesso ao bucket do S3 da pasta base para todos, exceto os usuários do IAM marymajor e johnstiles. Ela também permite que o ID de conta 123456789012 acesse o serviço AppStream 2.0 na região Oeste dos EUA (Oregon) da AWS.
{ "Sid": "RestrictedAccess", "Effect": "Deny", "NotPrincipal": { "AWS": [ "arn:aws:iam::123456789012:role/service-role/AmazonAppStreamServiceAccess", "arn:aws:sts::123456789012:assumed-role/AmazonAppStreamServiceAccess/PhotonSession", "arn:aws:iam::123456789012:user/marymajor", "arn:aws:iam::123456789012:user/johnstiles" ] }, "Action": "s3:*", "Resource": "arn:aws:s3:::appstream2-36fb080bb8-us-west-2-123456789012" } ] }
