翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# ホームフォルダおよびアプリケーション設定の永続化用の Amazon S3 バケットへの管理者アクセスの制限
<a name="s3-iam-policy-restricted-access"></a>

デフォルトでは、WorkSpaces アプリケーションによって作成された Amazon S3 バケットにアクセスできる管理者は、ユーザーのホームフォルダおよび永続的なアプリケーション設定の一部であるコンテンツを表示および変更できます。ユーザーファイルが含まれている S3 バケットへの管理者アクセスを制限するには、次のテンプレートに基づく S3 バケットアクセスポリシーを適用することをお勧めします。

```
{
  "Sid": "RestrictedAccess",
  "Effect": "Deny",
  "NotPrincipal": 
  {
    "AWS": [
      "arn:aws:iam::{{account}}:role/service-role/AmazonAppStreamServiceAccess",
      "arn:aws:sts::{{account}}:assumed-role/AmazonAppStreamServiceAccess/PhotonSession",
      "arn:aws:iam::{{account}}:user/{{IAM-user-name}}"
    ]
  },
    "Action": "s3:*",
    "Resource": "arn:aws:s3:::{{home-folder-or-application-settings-persistence-s3-bucket}}-{{region}}-{{account}}"
  }
 ]
}
```

このポリシーは、指定されたユーザーと WorkSpaces アプリケーションサービスへの S3 バケットアクセスのみを許可します。アクセス権が必要な IAM ユーザーごとに、次の行をレプリケートします。

```
"arn:aws:iam::{{account}}:user/{{IAM-user-name}}"
```

次のポリシー例では、marymajor と johnstiles を除くすべての IAM ユーザーに対して、ホームフォルダの S3 バケットへのアクセスを制限します。また、アカウント ID 123456789012 の米国西部 (オレゴン) AWS リージョンの WorkSpaces アプリケーションサービスへのアクセスも許可します。

```
{
  "Sid": "RestrictedAccess",
  "Effect": "Deny",
  "NotPrincipal": 
  {
    "AWS": [
      "arn:aws:iam::123456789012:role/service-role/AmazonAppStreamServiceAccess",
      "arn:aws:sts::123456789012:assumed-role/AmazonAppStreamServiceAccess/PhotonSession",
      "arn:aws:iam::123456789012:user/marymajor",
      "arn:aws:iam::123456789012:user/johnstiles"
    ]
  },
    "Action": "s3:*",
    "Resource": "arn:aws:s3:::appstream2-36fb080bb8-us-west-2-123456789012"
  }
 ]
}
```