Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Limitazione dell'accesso amministratore al bucket Amazon S3 per le home directory e la persistenza delle impostazioni dell'applicazione
<a name="s3-iam-policy-restricted-access"></a>

Per impostazione predefinita, gli amministratori che possono accedere ai bucket Amazon S3 creati WorkSpaces dalle applicazioni possono visualizzare e modificare i contenuti che fanno parte delle cartelle home degli utenti e delle impostazioni persistenti delle applicazioni. Per limitare l'accesso amministratore ai bucket S3 che contengono i file dell'utente, consigliamo di applicare le policy di accesso dei bucket S3 basate sul modello seguente: 

```
{
  "Sid": "RestrictedAccess",
  "Effect": "Deny",
  "NotPrincipal": 
  {
    "AWS": [
      "arn:aws:iam::{{account}}:role/service-role/AmazonAppStreamServiceAccess",
      "arn:aws:sts::{{account}}:assumed-role/AmazonAppStreamServiceAccess/PhotonSession",
      "arn:aws:iam::{{account}}:user/{{IAM-user-name}}"
    ]
  },
    "Action": "s3:*",
    "Resource": "arn:aws:s3:::{{home-folder-or-application-settings-persistence-s3-bucket}}-{{region}}-{{account}}"
  }
 ]
}
```

Questa policy consente l'accesso ai bucket S3 solo agli utenti specificati e al servizio Applicazioni. WorkSpaces Per ogni utente IAM a cui consentire l'accesso, replica la riga seguente:

```
"arn:aws:iam::{{account}}:user/{{IAM-user-name}}"
```

In questo esempio, la policy limita l'accesso al bucket S3 della home directory a chiunque, tranne che agli utenti IAM marymajor e johnstiles. Consente inoltre l'accesso al servizio WorkSpaces Applicazioni, nella AWS regione Stati Uniti occidentali (Oregon) per l'account ID 123456789012.

```
{
  "Sid": "RestrictedAccess",
  "Effect": "Deny",
  "NotPrincipal": 
  {
    "AWS": [
      "arn:aws:iam::123456789012:role/service-role/AmazonAppStreamServiceAccess",
      "arn:aws:sts::123456789012:assumed-role/AmazonAppStreamServiceAccess/PhotonSession",
      "arn:aws:iam::123456789012:user/marymajor",
      "arn:aws:iam::123456789012:user/johnstiles"
    ]
  },
    "Action": "s3:*",
    "Resource": "arn:aws:s3:::appstream2-36fb080bb8-us-west-2-123456789012"
  }
 ]
}
```