本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 限制管理员访问用于主文件夹和应用程序设置持久性的 Amazon S3 存储桶
<a name="s3-iam-policy-restricted-access"></a>

默认情况下，可以访问 WorkSpaces 应用程序创建的 Amazon S3 存储桶的管理员可以查看和修改用户主文件夹和永久应用程序设置中的内容。要限制管理员对包含用户文件的 S3 存储桶的访问，我们建议根据以下模板应用 S3 存储桶访问策略：

```
{
  "Sid": "RestrictedAccess",
  "Effect": "Deny",
  "NotPrincipal": 
  {
    "AWS": [
      "arn:aws:iam::account:role/service-role/AmazonAppStreamServiceAccess",
      "arn:aws:sts::account:assumed-role/AmazonAppStreamServiceAccess/PhotonSession",
      "arn:aws:iam::account:user/IAM-user-name"
    ]
  },
    "Action": "s3:*",
    "Resource": "arn:aws:s3:::home-folder-or-application-settings-persistence-s3-bucket-region-account"
  }
 ]
}
```

此策略仅允许指定用户和 WorkSpaces 应用程序服务访问 S3 存储桶。对于应具备访问权限的每个 IAM 用户，复制下面的行：

```
"arn:aws:iam::account:user/IAM-user-name"
```

在以下示例中，策略允许除 IAM 用户 marymajor 和 johnstiles 之外的任何用户访问主文件夹 S3 存储桶。它还允许账户编号为 123456789012 的美国西部 AWS 地区（俄勒冈州）访问 WorkSpaces 应用程序服务。

```
{
  "Sid": "RestrictedAccess",
  "Effect": "Deny",
  "NotPrincipal": 
  {
    "AWS": [
      "arn:aws:iam::123456789012:role/service-role/AmazonAppStreamServiceAccess",
      "arn:aws:sts::123456789012:assumed-role/AmazonAppStreamServiceAccess/PhotonSession",
      "arn:aws:iam::123456789012:user/marymajor",
      "arn:aws:iam::123456789012:user/johnstiles"
    ]
  },
    "Action": "s3:*",
    "Resource": "arn:aws:s3:::appstream2-36fb080bb8-us-west-2-123456789012"
  }
 ]
}
```