本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 限制管理員存取用於主資料夾和應用程式設定持續性的 Amazon S3 儲存貯體
<a name="s3-iam-policy-restricted-access"></a>

根據預設，可存取 WorkSpaces 應用程式建立的 Amazon S3 儲存貯體的管理員可以檢視和修改屬於使用者主資料夾和持久性應用程式設定的內容。若要限制管理員存取含有使用者檔案的 S3 儲存貯體，建議您依據以下範本套用 S3 儲存貯體存取政策：

```
{
  "Sid": "RestrictedAccess",
  "Effect": "Deny",
  "NotPrincipal": 
  {
    "AWS": [
      "arn:aws:iam::account:role/service-role/AmazonAppStreamServiceAccess",
      "arn:aws:sts::account:assumed-role/AmazonAppStreamServiceAccess/PhotonSession",
      "arn:aws:iam::account:user/IAM-user-name"
    ]
  },
    "Action": "s3:*",
    "Resource": "arn:aws:s3:::home-folder-or-application-settings-persistence-s3-bucket-region-account"
  }
 ]
}
```

此政策僅允許 S3 儲存貯體存取指定的使用者和 WorkSpaces 應用程式服務。針對每個應具備存取權的 IAM 使用者，複寫以下這一行：

```
"arn:aws:iam::account:user/IAM-user-name"
```

在下列範例中，政策會將主資料夾 S3 儲存貯體的存取權限制為 IAM 使用者 johnstiles 和 marymajor 以外的所有人。它還允許存取美國西部 （奧勒岡） AWS 區域的 WorkSpaces 應用程式服務，帳戶 ID 為 123456789012。

```
{
  "Sid": "RestrictedAccess",
  "Effect": "Deny",
  "NotPrincipal": 
  {
    "AWS": [
      "arn:aws:iam::123456789012:role/service-role/AmazonAppStreamServiceAccess",
      "arn:aws:sts::123456789012:assumed-role/AmazonAppStreamServiceAccess/PhotonSession",
      "arn:aws:iam::123456789012:user/marymajor",
      "arn:aws:iam::123456789012:user/johnstiles"
    ]
  },
    "Action": "s3:*",
    "Resource": "arn:aws:s3:::appstream2-36fb080bb8-us-west-2-123456789012"
  }
 ]
}
```