As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Restringir o acesso de administrador ao bucket do Amazon S3 para pastas base e persistência das configurações de aplicações
<a name="s3-iam-policy-restricted-access"></a>

Por padrão, os administradores que podem acessar os buckets do Amazon S3 criados WorkSpaces pelos aplicativos podem visualizar e modificar o conteúdo que faz parte das pastas iniciais dos usuários e das configurações persistentes do aplicativo. Para restringir o acesso do administrador ao bucket do S3 que contém arquivos de usuários, recomendamos aplicar a política de acesso ao bucket do S3 com base no modelo a seguir: 

```
{
  "Sid": "RestrictedAccess",
  "Effect": "Deny",
  "NotPrincipal": 
  {
    "AWS": [
      "arn:aws:iam::account:role/service-role/AmazonAppStreamServiceAccess",
      "arn:aws:sts::account:assumed-role/AmazonAppStreamServiceAccess/PhotonSession",
      "arn:aws:iam::account:user/IAM-user-name"
    ]
  },
    "Action": "s3:*",
    "Resource": "arn:aws:s3:::home-folder-or-application-settings-persistence-s3-bucket-region-account"
  }
 ]
}
```

Essa política permite acesso ao bucket do S3 somente aos usuários especificados e ao serviço de WorkSpaces aplicativos. Para cada usuário do IAM que precise ter acesso, replique a seguinte linha:

```
"arn:aws:iam::account:user/IAM-user-name"
```

No exemplo a seguir, a política restringe o acesso ao bucket do S3 da pasta base para todos, exceto os usuários do IAM marymajor e johnstiles. Também permite o acesso ao serviço de WorkSpaces Aplicativos, na AWS Região Oeste dos EUA (Oregon), com o ID da conta 123456789012.

```
{
  "Sid": "RestrictedAccess",
  "Effect": "Deny",
  "NotPrincipal": 
  {
    "AWS": [
      "arn:aws:iam::123456789012:role/service-role/AmazonAppStreamServiceAccess",
      "arn:aws:sts::123456789012:assumed-role/AmazonAppStreamServiceAccess/PhotonSession",
      "arn:aws:iam::123456789012:user/marymajor",
      "arn:aws:iam::123456789012:user/johnstiles"
    ]
  },
    "Action": "s3:*",
    "Resource": "arn:aws:s3:::appstream2-36fb080bb8-us-west-2-123456789012"
  }
 ]
}
```