Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Datenschutz in WorkSpaces Amazon-Anwendungen
Das AWS [Modell](https://aws.amazon.com/compliance/shared-responsibility-model/) der gilt für den Datenschutz in WorkSpaces Amazon-Anwendungen. Wie in diesem Modell beschrieben, AWS ist verantwortlich für den Schutz der globalen Infrastruktur, auf der alle Systeme laufen AWS Cloud. Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Dieser Inhalt enthält die Sicherheitskonfigurations- und Verwaltungsaufgaben für die von Ihnen verwendeten AWS-Services . Weitere Informationen zum Datenschutz finden Sie unter [Häufig gestellte Fragen zum Datenschutz](https://aws.amazon.com/compliance/data-privacy-faq). Informationen zum Datenschutz in Europa finden Sie im Blog-Beitrag [AWS -Modell der geteilten Verantwortung und in der DSGVO](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) im *AWS -Sicherheitsblog*.
Aus Datenschutzgründen empfehlen wir, dass Sie AWS-Konto Anmeldeinformationen schützen und einzelne Benutzer mit AWS Identity and Access Management (IAM) einrichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem sollten Sie die Daten mit folgenden Methoden schützen:
+ Verwenden Sie für jedes Konto die Multi-Faktor-Authentifizierung (MFA).
+ Wird verwendet SSL/TLS , um mit AWS Ressourcen zu kommunizieren. Wir empfehlen TLS 1.2.
+ Richten Sie die API und die Protokollierung von Benutzeraktivitäten mit ein AWS CloudTrail.
+ Verwenden Sie AWS Verschlüsselungslösungen zusammen mit allen Standardsicherheitskontrollen innerhalb der AWS Dienste.
+ Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu sichern.
+ Wenn Sie für den Zugriff AWS über eine Befehlszeilenschnittstelle oder eine API FIPS 140-2-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. Weitere Informationen über verfügbare FIPS-Endpunkte finden Sie unter [Federal Information Processing Standard (FIPS) 140-2](https://aws.amazon.com/compliance/fips/).
Wir empfehlen dringend, in Freitextfeldern wie z. B. im Feld **Name** keine vertraulichen oder sensiblen Informationen wie die E-Mail-Adressen Ihrer Kunden einzugeben. Dies gilt auch, wenn Sie mit WorkSpaces Anwendungen oder anderen AWS Diensten arbeiten, die die Konsole, die API oder verwenden. AWS CLI AWS SDKs Alle Daten, die Sie in Tags (Markierungen) oder Freiformfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie eine URL für einen externen Server bereitstellen, empfehlen wir dringend, Sie keine Anmeldeinformationen zur Validierung Ihrer Anforderung an den betreffenden Server in die URL einzuschließen.
**Topics**
+ [Verschlüsselung im Ruhezustand](encryption-rest.md)
+ [Verschlüsselung während der Übertragung](encryption-transit.md)
+ [Administrator-Steuerelemente](administrator-controls.md)
+ [Anwendungszugriff](application-access.md)
# Verschlüsselung im Ruhezustand
WorkSpaces Flotteninstanzen von Anwendungen sind ihrer Natur nach kurzlebig. Nachdem die Streaming-Sitzung eines Benutzers abgeschlossen ist, werden die zugrunde liegende Instance und das zugehörige Amazon-Elastic-Block-Store-(Amazon-EBS)-Volume beendet. Darüber hinaus recycelt WorkSpaces Applications in regelmäßigen Abständen ungenutzte Instances, um deren Aktualität zu gewährleisten.
Wenn Sie die [Persistenz der Anwendungseinstellungen](how-it-works-app-settings-persistence.md), [Basisordner](home-folders-admin.md), [Sitzungsskripts](enable-S3-bucket-storage-session-script-logs.md) oder [Nutzungsberichte](enable-usage-reports.md) für Ihre Benutzer aktivieren, werden die von Ihren Benutzern generierten und in Amazon Simple Storage Service-Buckets gespeicherten Daten im Ruhezustand verschlüsselt. AWS Key Management Service ist ein Service, der sichere, hochverfügbare Hardware und Software kombiniert, um ein für die Cloud skaliertes Schlüsselverwaltungssystem bereitzustellen. Amazon S3 verwendet [AWS Managed CMKs](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk), um Ihre Amazon S3 S3-Objektdaten zu verschlüsseln.
# Verschlüsselung während der Übertragung
Die folgende Tabelle enthält Informationen darüber, wie Daten während der Übertragung verschlüsselt werden. Gegebenenfalls sind auch andere Datenschutzmethoden für WorkSpaces Anwendungen aufgeführt.
| Daten | Netzwerkpfad | Art des Schutzes |
| --- | --- | --- |
| Webkomponenten Dieser Datenverkehr umfasst Ressourcen wie Bilder und JavaScript Dateien. | Zwischen WorkSpaces Anwendungen, Benutzern und WorkSpaces Anwendungen | Verschlüsselt mit TLS 1.2 |
| Pixel und zugehöriger Streaming-Datenverkehr | Zwischen WorkSpaces Anwendungsbenutzern und WorkSpaces Anwendungen | Verschlüsselt mit 256-Bit Advanced Encryption Standard (AES-256) Transportiert mit TLS 1.2 |
| API-Datenverkehr | Zwischen WorkSpaces Anwendungsbenutzern und WorkSpaces Anwendungen | Verschlüsselt mit TLS 1.2 Anfragen zum Erstellen einer Verbindung werden mit SigV4 signiert. |
| Von Benutzern generierte Anwendungseinstellungen und Basisordnerdaten Anwendbar, wenn Persistenz von Anwendungseinstellungen und Basisordner aktiviert sind. | Zwischen WorkSpaces Anwendungsbenutzern und Amazon S3 | Verschlüsselt mit Amazon-S3-SSL-Endpunkten |
| WorkSpaces Von Anwendungen verwalteter Datenverkehr | Zwischen WorkSpaces Anwendungs-Streaming-Instanzen und: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/appstream2/latest/developerguide/encryption-transit.html) | Verschlüsselt mit TLS 1.2 Anfragen zum Erstellen einer Verbindung werden ggf. mit SigV4 signiert |
# Administrator-Steuerelemente
WorkSpaces Applications bietet administrative Steuerelemente, mit denen Sie einschränken können, wie Benutzer Daten zwischen ihrem lokalen Computer und einer WorkSpaces Applications-Flotteninstanz übertragen können. Sie können Folgendes einschränken oder deaktivieren, wenn Sie [einen WorkSpaces Anwendungsstapel erstellen oder aktualisieren](set-up-stacks-fleets-install.md):
+ Zwischenablage-/Kopier- und Einfügeaktionen
+ Upload und Download von Dateien, einschließlich Ordner- und Laufwerksumleitung
+ Drucken
Wenn Sie ein WorkSpaces Anwendungs-Image erstellen, können Sie angeben, welche USB-Geräte verfügbar sind, um vom WorkSpaces Applications Client für Windows zu WorkSpaces Applications Fleet-Instances umzuleiten. Die von Ihnen angegebenen USB-Geräte können während der WorkSpaces Anwendungs-Streaming-Sitzungen der Benutzer verwendet werden. Weitere Informationen finden Sie unter [Qualifizieren von USB-Geräten für die Verwendung mit Streaming-Anwendungen](qualify-usb-devices.md).
# Anwendungszugriff
Standardmäßig ermöglicht WorkSpaces Applications den Anwendungen, die Sie in Ihrem Image angeben, das Starten anderer Anwendungen und ausführbarer Dateien auf dem Image Builder und der Flotteninstanz. Dadurch wird sichergestellt, dass Anwendungen mit Abhängigkeiten von anderen Anwendungen (z. B. einer Anwendung, die den Browser startet, um zu einer Produktwebsite zu navigieren) erwartungsgemäß funktionieren. Stellen Sie sicher, dass Sie administrative Steuerelemente, Sicherheitsgruppen und andere Sicherheitssoftware so konfigurieren, dass Benutzern die Mindestberechtigungen gewährt werden, die für den Zugriff auf Ressourcen und die Übertragung von Daten zwischen ihren lokalen Computern und Flotten-Instances erforderlich sind.
Sie können Anwendungssteuerungssoftware wie [Microsoft](https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/applocker/applocker-overview) und Richtlinien verwenden AppLocker, um zu steuern, welche Anwendungen und Dateien Ihre Benutzer ausführen können. Mithilfe von Software und Richtlinien zur Anwendungssteuerung können Sie die ausführbaren Dateien, Skripts, Windows Installer-Dateien, Bibliotheken mit dynamischen Links und Anwendungspakete steuern, die Ihre Benutzer auf WorkSpaces Applications Image Buildern und Flotteninstanzen ausführen können.
**Anmerkung**
Die WorkSpaces Applications Agent-Software stützt sich bei der Bereitstellung von Streaming-Instanzen auf die Windows-Befehlszeile und Windows Powershell. Wenn Sie verhindern möchten, dass Benutzer die Windows-Eingabeaufforderung oder Windows Powershell starten, dürfen die Richtlinien nicht für Windows NT AUTHORITY\$1SYSTEM oder Benutzer in der Gruppe „Administratoren“ gelten.
| Art der Regel | Action | Windows-Benutzer oder -Gruppe | Name/Pfad | Bedingung | Description |
| --- | --- | --- | --- | --- | --- |
| Ausführbare Datei | Sobald Sie die Details auf dieser Seite überprüft haben, klicken Sie auf | NT AUTHORITY\$1System | \$1 | Pfad | Erforderlich für die WorkSpaces Applications Agent-Software |
| Ausführbare Datei | Sobald Sie die Details auf dieser Seite überprüft haben, klicken Sie auf | BUILTIN\$1Administratoren | \$1 | Pfad | Erforderlich für die WorkSpaces Applications Agent-Software |
| Ausführbare Datei | Sobald Sie die Details auf dieser Seite überprüft haben, klicken Sie auf | Alle | %PROGRAMFILES%\$1nodejs\$1\$1 | Pfad | Erforderlich für die WorkSpaces Applications Agent-Software |
| Ausführbare Datei | Sobald Sie die Details auf dieser Seite überprüft haben, klicken Sie auf | Alle | %PROGRAMFILES%\$1NICE\$1\$1 | Pfad | Erforderlich für die WorkSpaces Applications Agent-Software |
| Ausführbare Datei | Sobald Sie die Details auf dieser Seite überprüft haben, klicken Sie auf | Alle | %PROGRAMFILES%\$1Amazon\$1\$1 | Pfad | Erforderlich für die WorkSpaces Applications Agent-Software |
| Ausführbare Datei | Sobald Sie die Details auf dieser Seite überprüft haben, klicken Sie auf | Alle | %PROGRAMFILES%\$1 < >\$1 \$1 default-browser | Pfad | Erforderlich für die WorkSpaces Applications Agent-Software, wenn persistente Speicherlösungen wie Google Drive oder Microsoft OneDrive for Business verwendet werden. Diese Ausnahme ist nicht erforderlich, wenn WorkSpaces Anwendungs-Home-Ordner verwendet werden. |