Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Restricción de acceso del administrador al bucket de Amazon S3 para las carpetas de inicio y persistencia de configuración de la aplicación
<a name="s3-iam-policy-restricted-access"></a>

De forma predeterminada, los administradores que pueden acceder a los buckets de Amazon S3 creados por WorkSpaces las aplicaciones pueden ver y modificar el contenido que forma parte de las carpetas de inicio de los usuarios y de la configuración persistente de las aplicaciones. Para restringir el acceso de administrador a los bucket de S3 que contienen los archivos de usuario, recomendamos aplicar la política de acceso del bucket de S3 basada en la siguiente plantilla: 

```
{
  "Sid": "RestrictedAccess",
  "Effect": "Deny",
  "NotPrincipal": 
  {
    "AWS": [
      "arn:aws:iam::{{account}}:role/service-role/AmazonAppStreamServiceAccess",
      "arn:aws:sts::{{account}}:assumed-role/AmazonAppStreamServiceAccess/PhotonSession",
      "arn:aws:iam::{{account}}:user/{{IAM-user-name}}"
    ]
  },
    "Action": "s3:*",
    "Resource": "arn:aws:s3:::{{home-folder-or-application-settings-persistence-s3-bucket}}-{{region}}-{{account}}"
  }
 ]
}
```

Esta política permite el acceso al bucket de S3 solo a los usuarios especificados y al servicio de WorkSpaces aplicaciones. Para cada usuario de IAM que necesite acceso, repita la siguiente línea:

```
"arn:aws:iam::{{account}}:user/{{IAM-user-name}}"
```

En el ejemplo siguiente, la política limita el acceso al bucket de S3 de la carpeta de inicio a cualquier otro usuario de IAM que no sea marymajor y johnstiles. También permite el acceso al servicio de WorkSpaces aplicaciones, en la AWS región EE.UU. Oeste (Oregón) con el ID de cuenta 123456789012.

```
{
  "Sid": "RestrictedAccess",
  "Effect": "Deny",
  "NotPrincipal": 
  {
    "AWS": [
      "arn:aws:iam::123456789012:role/service-role/AmazonAppStreamServiceAccess",
      "arn:aws:sts::123456789012:assumed-role/AmazonAppStreamServiceAccess/PhotonSession",
      "arn:aws:iam::123456789012:user/marymajor",
      "arn:aws:iam::123456789012:user/johnstiles"
    ]
  },
    "Action": "s3:*",
    "Resource": "arn:aws:s3:::appstream2-36fb080bb8-us-west-2-123456789012"
  }
 ]
}
```