Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Infrastruktursicherheit in WorkSpaces Amazon-Anwendungen
Als verwalteter Service ist Amazon WorkSpaces Applications durch AWS globale Netzwerksicherheit geschützt. Informationen zu AWS Sicherheitsdiensten und zum AWS Schutz der Infrastruktur finden Sie unter [AWS Cloud-Sicherheit](https://aws.amazon.com/security/). Informationen zum Entwerfen Ihrer AWS Umgebung unter Verwendung der bewährten Methoden für die Infrastruktursicherheit finden Sie unter [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected Framework*.
Sie verwenden AWS veröffentlichte API-Aufrufe, um über das Netzwerk auf WorkSpaces Anwendungen zuzugreifen. Kunden müssen Folgendes unterstützen:
+ Transport Layer Security (TLS). Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Verschlüsselungs-Suiten mit Perfect Forward Secrecy (PFS) wie DHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Die meisten modernen Systeme wie Java 7 und höher unterstützen diese Modi.
Die folgenden Themen enthalten zusätzliche Informationen zur Sicherheit der WorkSpaces Anwendungsinfrastruktur.
**Topics**
+ [Netzwerkisolierung](network-isolation.md)
+ [Isolierung auf physischen Hosts](physical-isolation.md)
+ [Steuerung des Netzwerkverkehrs](control-network-traffic.md)
+ [WorkSpaces VPC-Endpunkte mit Anwendungsschnittstelle](interface-vpc-endpoints.md)
+ [Schützen von Daten bei der Übertragung mit FIPS-Endpunkten](protecting-data-in-transit-FIPS-endpoints.md)
# Netzwerkisolierung
Eine Virtual Private Cloud (VPC) ist ein virtuelles Netzwerk in Ihrem eigenen logisch isolierten Bereich in der Cloud von Amazon Web Services. Verwenden Sie diese Option separat VPCs , um die Infrastruktur nach Arbeitslast oder organisatorischer Einheit zu isolieren.
Ein Subnetz ist ein Bereich von IP-Adressen in einer VPC. Wenn Sie eine Instance starten, starten Sie sie in einem Subnetz in Ihrer VPC. Verwenden Sie Subnetze, um Ihre Anwendungsschichten (z. B. Web, Anwendung und Datenbank) innerhalb einer einzelnen VPC zu isolieren. Verwenden Sie für Ihre Instances private Subnetze, wenn Sie nicht direkt aus dem Internet erreichbar sein sollen.
Sie können von WorkSpaces Anwendungs-Streaming-Instances in Ihrer VPC streamen, ohne das öffentliche Internet nutzen zu müssen. Verwenden Sie dazu einen Schnittstellen-VPC-Endpunkt (Schnittstellenendpunkt). Weitere Informationen finden Sie unter [Tutorial: Erstellen und Streamen von Schnittstellen-VPC-Endpunkten](creating-streaming-from-interface-vpc-endpoints.md).
Mithilfe eines Schnittstellenendpunkts können Sie auch WorkSpaces Anwendungs-API-Operationen von Ihrer VPC aus aufrufen, ohne Datenverkehr über das öffentliche Internet zu senden. Weitere Informationen finden Sie unter [Zugriff auf WorkSpaces Anwendungen, API-Operationen und CLI-Befehle über eine Schnittstelle (VPC-Endpunkt)](access-api-cli-through-interface-vpc-endpoint.md).
# Isolierung auf physischen Hosts
Verschiedene Streaming-Instances auf demselben physischen Host werden so voneinander isoliert, als ob sie sich auf separaten physischen Hosts befänden. Der Hypervisor isoliert CPU und Speicher, und den Instances werden virtualisierte Festplatten anstelle des Zugriffs auf die Datenträger bereitgestellt.
Wenn Sie eine Streaming-Instance stoppen oder beenden, wird der ihr zugewiesene Speicher vom Hypervisor gesäubert (d. h., er wird mit Null überschrieben), bevor er einer neuen Instance zugewiesen wird. Jeder Speicherblock wird zurückgesetzt. Dadurch wird sichergestellt, dass Ihre Daten nicht einer anderen Instance zugänglich gemacht werden.
# Steuerung des Netzwerkverkehrs
Um den Netzwerkverkehr zu Ihren WorkSpaces Anwendungs-Streaming-Instances besser kontrollieren zu können, sollten Sie die folgenden Optionen in Betracht ziehen:
+ Wenn Sie eine AppStream Amazon-Streaming-Instance starten, starten Sie sie in einem Subnetz in Ihrer VPC. Sie können Streaming-Instances in einem privaten Subnetz bereitstellen, wenn sie nicht über das Internet zugänglich sein sollen.
+ Verwenden Sie ein NAT-Gateway, um Internetzugriff auf Streaming-Instances in einem privaten Subnetz zu ermöglichen. Weitere Informationen finden Sie unter [Konfigurieren einer VPC mit privaten Subnetzen und einem NAT-Gateway](managing-network-internet-NAT-gateway.md).
+ Mit Sicherheitsgruppen, die zu Ihrer VPC gehören, können Sie den Netzwerkverkehr zwischen WorkSpaces Anwendungs-Streaming-Instances und VPC-Ressourcen wie Lizenzservern, Dateiservern und Datenbankservern steuern. Sicherheitsgruppen isolieren auch den Datenverkehr zwischen Ihren Streaming-Instances und den WorkSpaces Anwendungsverwaltungsdiensten.
Verwenden Sie Sicherheitsgruppen, um den Zugriff auf Ihre Streaming-Instances zu beschränken. Beispielsweise können Sie den Datenverkehr nur aus den Adressbereichen Ihres Unternehmensnetzwerks zulassen. Weitere Informationen finden Sie unter [Sicherheitsgruppen in WorkSpaces Amazon-Anwendungen](managing-network-security-groups.md).
+ Sie können von WorkSpaces Anwendungs-Streaming-Instances in Ihrer VPC streamen, ohne das öffentliche Internet nutzen zu müssen. Verwenden Sie dazu einen Schnittstellen-VPC-Endpunkt (Schnittstellenendpunkt). Weitere Informationen finden Sie unter [Tutorial: Erstellen und Streamen von Schnittstellen-VPC-Endpunkten](creating-streaming-from-interface-vpc-endpoints.md).
Mithilfe eines Schnittstellenendpunkts können Sie auch WorkSpaces Anwendungs-API-Operationen von Ihrer VPC aus aufrufen, ohne Datenverkehr über das öffentliche Internet zu senden. Weitere Informationen finden Sie unter [Zugriff auf WorkSpaces Anwendungen, API-Operationen und CLI-Befehle über eine Schnittstelle (VPC-Endpunkt)](access-api-cli-through-interface-vpc-endpoint.md).
+ Verwenden Sie IAM-Rollen und -Richtlinien, um den Administratorzugriff auf WorkSpaces Applications, Application Auto Scaling und Amazon S3 S3-Buckets zu verwalten. Weitere Informationen finden Sie unter den folgenden Themen:
+ [Verwenden von AWS verwalteten Richtlinien und verknüpften Rollen zur Verwaltung des Administratorzugriffs auf WorkSpaces Anwendungsressourcen](controlling-administrator-access-with-policies-roles.md)
+ [Verwenden von IAM-Richtlinien zur Verwaltung des Administratorzugriffs auf Application Auto Scaling](autoscaling-iam-policy.md)
+ [Einschränken des Administratorzugriffs auf den Amazon-S3-Bucket für Basisordner und die Persistenz von Anwendungseinstellungen](s3-iam-policy-restricted-access.md)
+ Sie können SAML 2.0 verwenden, um die Authentifizierung für Anwendungen zu bündeln. WorkSpaces Weitere Informationen finden Sie unter [Kontingente WorkSpaces für Amazon Applications Service](limits.md).
**Anmerkung**
Für kleinere WorkSpaces Anwendungsbereitstellungen können Sie WorkSpaces Anwendungsbenutzerpools verwenden. Standardmäßig unterstützen -Benutzerpools maximal 50 Benutzer. Weitere Informationen zu WorkSpaces Anwendungskontingenten (auch als Grenzwerte bezeichnet) finden Sie unter[Kontingente WorkSpaces für Amazon Applications Service](limits.md). Für Bereitstellungen, die 100 oder mehr WorkSpaces Anwendungsbenutzer unterstützen müssen, empfehlen wir die Verwendung von SAML 2.0.
# WorkSpaces VPC-Endpunkte mit Anwendungsschnittstelle
Eine Virtual Private Cloud (VPC) ist ein virtuelles Netzwerk in Ihrem eigenen logisch isolierten Bereich in der Cloud von Amazon Web Services. Wenn Sie Amazon Virtual Private Cloud zum Hosten Ihrer AWS Ressourcen verwenden, können Sie eine private Verbindung zwischen Ihrer VPC und den WorkSpaces Anwendungen herstellen. Sie können diese Verbindung verwenden, damit WorkSpaces Anwendungen mit Ihren Ressourcen auf Ihrer VPC kommunizieren können, ohne das öffentliche Internet nutzen zu müssen.
Schnittstellenendpunkte werden mit einer Technologie betrieben AWSPrivateLink, mit der Sie den Datenverkehr innerhalb einer VPC streamen können, die Sie mithilfe von privaten IP-Adressen angeben. Wenn Sie die VPC mit einem Direct Connect AWS Virtual Private Network OR-Tunnel verwenden, können Sie den Streaming-Verkehr in Ihrem Netzwerk behalten.
Die folgenden Themen enthalten Informationen zu Endpunkten der WorkSpaces Anwendungsschnittstelle.
**Topics**
+ [Tutorial: Erstellen und Streamen von Schnittstellen-VPC-Endpunkten](creating-streaming-from-interface-vpc-endpoints.md)
+ [Zugriff auf WorkSpaces Anwendungen, API-Operationen und CLI-Befehle über eine Schnittstelle (VPC-Endpunkt)](access-api-cli-through-interface-vpc-endpoint.md)
# Tutorial: Erstellen und Streamen von Schnittstellen-VPC-Endpunkten
Sie können einen VPC-Schnittstellen-Endpunkt in Ihrem Amazon Web Services Services-Konto verwenden, um den gesamten Netzwerkverkehr zwischen Ihrer Amazon VPC und Ihren WorkSpaces Anwendungen zum Amazon-Netzwerk einzuschränken. Nachdem Sie diesen Endpunkt erstellt haben, konfigurieren Sie Ihren WorkSpaces Anwendungsstapel oder Image Builder so, dass er ihn verwendet.
**Voraussetzungen**
Bevor Sie VPC-Schnittstellen-Endpunkte für WorkSpaces Anwendungen einrichten, sollten Sie die folgenden Voraussetzungen beachten:
+ Eine Internetverbindung ist erforderlich, um Benutzer zu authentifizieren und die Webressourcen bereitzustellen, die WorkSpaces Applications zum Funktionieren benötigen. Der Streaming-Schnittstellenendpunkt verwaltet den Streaming-Datenverkehr innerhalb Ihrer VPC. Der Streaming-Datenverkehr umfasst Pixel, USB, Benutzereingaben, Audio, Zwischenablage, Datei-Upload und -Download sowie Druckerdatenverkehr. Sie müssen die in [Zulässige Domänen](allowed-domains.md) aufgelisteten Domains zulassen, um diesen Datenverkehr zuzulassen. Nachdem Sie den VPC-Endpunkt erstellt haben, müssen Sie die Benutzerauthentifizierungsdomänen für WorkSpaces Anwendungen zulassen. Für die Streaming-Gateways können Sie den Zugriff jedoch nur auf < vpc-endpoint-id >.streaming.appstream beschränken. .vpce.amazonaws.com. Angebote auf \$1.amazonappstream.com zulassen ist nicht erforderlich. Der vollqualifizierte Domänenname des VPC-Endpunkts ersetzt diese Abhängigkeit.
+ Das Netzwerk, mit dem die Geräte Ihrer Benutzer verbunden sind, muss in der Lage sein, den Datenverkehr an den Schnittstellenendpunkt weiterzuleiten.
+ Die Sicherheitsgruppen, die dem Schnittstellenendpunkt zugeordnet sind, müssen eingehenden Zugriff auf Port 443 (TCP) und Ports 1400 bis 1499 (TCP) aus dem IP-Adressbereich erlauben, von dem aus Ihre Benutzer eine Verbindung herstellen.
+ Die Netzwerk-Zugriffskontrollliste für die Subnetze muss ausgehenden Datenverkehr von den flüchtigen Netzwerk-Ports 1024 bis 65535 (TCP) zu dem IP-Adressbereich zulassen, von dem aus Ihre Benutzer eine Verbindung herstellen.
+ Sie müssen über eine IAM-Berechtigungsrichtlinie verfügenAWS-Konto, die Berechtigungen zur Ausführung der `ec2:DescribeVpcEndpoints` API-Aktion bereitstellt. Standardmäßig ist diese Berechtigung in der IAM-Richtlinie definiert, die der Rolle zugeordnet ist. AmazonAppStreamServiceAccess Wenn Sie über die erforderlichen Berechtigungen verfügen, wird diese Servicerolle automatisch von WorkSpaces Applications mit den erforderlichen IAM-Richtlinien erstellt, wenn Sie mit dem WorkSpaces Applications-Service in einer AWS Region beginnen. Weitere Informationen finden Sie unter [Identity and Access Management für WorkSpaces Amazon-Anwendungen](controlling-access.md).
**So erstellen Sie einen Schnittstellen-Endpunkt**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Endpoints** und klicken Sie auf **Create Endpoint**.
1. Klicken Sie auf **Endpunkt erstellen**.
1. Stellen Sie sicher, dass als **Dienstkategorie AWS** **Dienste** ausgewählt ist.
1. Wählen Sie für **Servicename** **com.amazonaws.******.appstream.streaming** aus.
1. Geben Sie folgende Informationen an: Klicken Sie abschließend auf **Create Endpoint (Endpunkt erstellen)**.
+ Wählen Sie für **VPC** eine VPC aus, in der der Schnittstellenendpunkt erstellt werden soll. Sie können eine andere VPC als die VPC mit WorkSpaces Anwendungsressourcen wählen.
+ Wählen Sie für **Subnets** Subnetze (Availability Zones) aus, in denen die Endpunktnetzwerkschnittstellen erstellt werden sollen. Wir empfehlen, Subnetze in mindestens zwei Availability Zones auszuwählen.
+ Wählen Sie als **IP-Adresstyp** entweder oder IPV6 . IPV4
+ Stellen Sie sicher, dass das Kontrollkästchen **Enable Private DNS Name (Privaten DNS-Namen aktivieren)** aktiviert ist.
**Anmerkung**
Wenn Ihre Benutzer einen Netzwerkproxy verwenden, um auf Streaming-Instances zuzugreifen, deaktivieren Sie die Proxy-Zwischenspeicherung in der Domäne und alle DNS-Namen, die dem privaten Endpunkt zugeordnet sind. Der DNS-Name des VPC-Endpunkts sollte über den Proxy zugelassen werden.
+ Wählen Sie für **Security group (Sicherheitsgruppe)** die Sicherheitsgruppen aus, die den Endpunktnetzwerkschnittstellen zugeordnet werden sollen.
**Anmerkung**
Die Sicherheitsgruppen müssen eingehenden Zugriff auf die Ports aus dem IP-Adressbereich gewähren, von dem aus Ihre Benutzer eine Verbindung herstellen.
Während Ihr Schnittstellenendpunkt erstellt wird, wird der Status des Endpunkts in der Konsole als **Pending (Ausstehend)** angezeigt. Nachdem Ihr Endpunkt erstellt wurde, ändert sich der Status in **Available (Verfügbar)**.
Führen Sie die folgenden Schritte aus, um einen Stack so zu aktualisieren, dass er den für Streaming-Sitzungen erstellten Schnittstellenendpunkt verwendet.
**So aktualisieren Sie einen Stack so, dass er einen neuen Schnittstellenendpunkt verwendet**
1. Öffnen Sie die WorkSpaces Anwendungskonsole zu [https://console.aws.amazon.com/appstream2/Hause](https://console.aws.amazon.com/appstream2/home).
Stellen Sie sicher, dass Sie die Konsole in derselben AWS Region öffnen wie der Schnittstellenendpunkt, den Sie verwenden möchten.
1. Wählen Sie im Navigationsbereich **Stacks** und dann den gewünschten Stack aus.
1. Wählen Sie die Registerkarte **VPC-Endpunkte** und anschließend **Bearbeiten** aus.
1. Wählen Sie im Dialogfeld **VPC-Endpunkt bearbeiten** unter **Streaming-Endpunkt** den Endpunkt aus, über den Sie den Datenverkehr streamen möchten.
1. Wählen Sie **Aktualisieren** aus.
Der Datenverkehr für neue Streaming-Sitzungen wird über diesen Endpunkt geleitet. Der Datenverkehr für aktuelle Streaming-Sitzungen wird jedoch weiterhin über den zuvor angegebenen Endpunkt geleitet.
**Anmerkung**
Benutzer können nicht mit dem Internetendpunkt streamen, wenn ein Schnittstellendpunkt angegeben wird.
# Zugriff auf WorkSpaces Anwendungen, API-Operationen und CLI-Befehle über eine Schnittstelle (VPC-Endpunkt)
Wenn Sie Amazon Virtual Private Cloud zum Hosten Ihrer AWS Ressourcen verwenden, können Sie über einen [VPC-Schnittstellen-Endpunkt (Schnittstellenendpunkt) in Ihrer Virtual Private Cloud (VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html)) direkt eine Verbindung zu API-Vorgängen oder Befehlszeilenbefehlen (CLI) herstellen, anstatt eine Verbindung über das Internet herzustellen. WorkSpaces Schnittstellenendpunkte werden mit einer Technologie betrieben AWSPrivateLink, mit der Sie den Datenverkehr innerhalb einer VPC streamen können, die Sie mithilfe von privaten IP-Adressen angeben. Wenn Sie einen Schnittstellenendpunkt verwenden, erfolgt die Kommunikation zwischen Ihrer VPC und den WorkSpaces Anwendungen vollständig und sicher innerhalb des AWS Netzwerks.
**Anmerkung**
In diesem Thema wird beschrieben, wie Sie über einen Schnittstellenendpunkt auf die API-Operationen und CLI-Befehle für WorkSpaces Anwendungen zugreifen. Informationen zum Erstellen und Streamen von Endpunkten für die WorkSpaces Anwendungsschnittstelle finden Sie unter[Tutorial: Erstellen und Streamen von Schnittstellen-VPC-Endpunkten](creating-streaming-from-interface-vpc-endpoints.md).
**Voraussetzungen**
Um Schnittstellenendpunkte verwenden zu können, müssen Sie die folgenden Voraussetzungen erfüllen:
+ Die Sicherheitsgruppen, die dem Schnittstellenendpunkt zugeordnet sind, müssen eingehenden Zugriff auf Port 443 (TCP) aus dem IP-Adressbereich erlauben, von dem aus Ihre Benutzer eine Verbindung herstellen.
+ Die Netzwerk-Zugriffskontrollliste für die Subnetze muss ausgehenden Datenverkehr von den flüchtigen Netzwerk-Ports 1024 bis 65535 (TCP) zu dem IP-Adressbereich zulassen, von dem aus Ihre Benutzer eine Verbindung herstellen.
**Topics**
+ [Erstellen Sie einen Schnittstellenendpunkt für den Zugriff auf WorkSpaces Anwendungen, API-Operationen und CLI-Befehle](access-api-cli-through-interface-vpc-endpoint-create-interface-endpoint.md)
+ [Verwenden Sie einen Schnittstellenendpunkt für den Zugriff auf WorkSpaces Anwendungen, API-Operationen und CLI-Befehle](how-to-access-api-cli-through-interface-vpc-endpoint.md)
# Erstellen Sie einen Schnittstellenendpunkt für den Zugriff auf WorkSpaces Anwendungen, API-Operationen und CLI-Befehle
Führen Sie die folgenden Schritte aus, um einen Schnittstellenendpunkt zu erstellen.
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Endpoints** und klicken Sie auf **Create Endpoint**.
1. Klicken Sie auf **Endpunkt erstellen**.
1. Stellen Sie sicher, dass als **Servicekategorie AWS** **Dienste** ausgewählt sind.
1. Wählen Sie für **Servicename** **com.amazonaws.******.appstream.api** aus.
1. Geben Sie folgende Informationen an: Klicken Sie abschließend auf **Create Endpoint (Endpunkt erstellen)**.
+ Wählen Sie für **VPC** eine VPC, in der der Schnittstellenendpunkt erstellt werden soll.
+ Für **Subnets** wählen Sie die Subnetze (Availability Zones) aus, in denen die Endpunktnetzwerkschnittstellen erstellt werden sollen. Wir empfehlen, Subnetze in mindestens zwei Availability Zones auszuwählen.
+ Optional können Sie das Kontrollkästchen **Enable Private DNS Name (Privaten DNS-Namen aktivieren)** markieren.
**Anmerkung**
Wenn Sie diese Option auswählen, dann stellen Sie sicher, dass Sie VPC und DNS nach Bedarf konfigurieren, um das private DNS zu unterstützen. Weitere Informationen finden Sie unter [Privates DNS](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-private-dns) im *Amazon-VPC-Benutzerhandbuch*.
+ Für **Sicherheitsgruppe** wählen Sie die Sicherheitsgruppen aus, die den Endpunktnetzwerkschnittstellen zugeordnet werden sollen.
**Anmerkung**
Die Sicherheitsgruppen müssen eingehenden Zugriff auf die Ports aus dem IP-Adressbereich gewähren, von dem aus Ihre Benutzer eine Verbindung herstellen.
Während Ihr Schnittstellenendpunkt erstellt wird, wird der Status des Endpunkts in der Konsole als **Pending (Ausstehend)** angezeigt. Nachdem Ihr Endpunkt erstellt wurde, ändert sich der Status in **Available (Verfügbar)**.
# Verwenden Sie einen Schnittstellenendpunkt für den Zugriff auf WorkSpaces Anwendungen, API-Operationen und CLI-Befehle
Nachdem sich der Status des Schnittstellen-VPC-Endpunkts, den Sie erstellen, in **Verfügbar** geändert hat, können Sie den Endpunkt verwenden, um auf API-Operationen und CLI-Befehle für WorkSpaces Anwendungen zuzugreifen. Geben Sie dazu den Parameter `endpoint-url` mit dem DNS-Namen des Schnittstellenendpunkts an, wenn Sie diese Operationen und Befehle verwenden. Der DNS-Name ist öffentlich auflösbar, leitet jedoch nur den Datenverkehr in Ihrer VPC erfolgreich weiter.
Das folgende Beispiel zeigt, wie Sie den DNS-Namen des Schnittstellenendpunkts angeben, wenn Sie den CLI-Befehl **describe-fleets** verwenden:
```
aws appstream describe-fleets --endpoint-url .api.appstream..vpce.amazonaws.com
```
Das folgende Beispiel zeigt, wie Sie den DNS-Namen des Schnittstellenendpunkts angeben, wenn Sie den WorkSpaces Applications Boto3 Python-Client instanziieren:
```
appstream2client = boto3.client('appstream',region_name='',endpoint_url='.api.appstream..vpce.amazonaws.com'
```
Nachfolgende Befehle, die das Objekt `appstream2client` verwenden, verwenden automatisch den angegebenen Schnittstellenendpunkt.
Wenn Sie die privaten DNS-Hostnamen auf dem Schnittstellenendpunkt aktiviert haben, müssen Sie die Endpunkt-URL nicht angeben. Der DNS-Hostname der WorkSpaces Anwendungs-API, den die API und die CLI standardmäßig verwenden, wird in Ihrer VPC aufgelöst. Weitere Informationen zu privaten DNS-Hostnamen finden Sie unter [Privates DNS](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-private-dns) im *Amazon-VPC-Benutzerhandbuch*.
# Schützen von Daten bei der Übertragung mit FIPS-Endpunkten
Wenn Sie mit dem WorkSpaces Applications Service kommunizieren, sei es als Administrator über die WorkSpaces Anwendungskonsole, die AWS Befehlszeilenschnittstelle (AWS CLI) oder ein AWS SDK oder als Benutzer, der von einem Image Builder oder einer Flotteninstanz streamt, werden alle übertragenen Daten standardmäßig mit TLS 1.2 verschlüsselt.
Wenn Sie für den Zugriff AWS über eine Befehlszeilenschnittstelle oder eine API FIPS 140-2-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. WorkSpaces Applications bietet FIPS-Endpunkte in allen AWS Regionen der Vereinigte Staaten, in denen WorkSpaces Applications verfügbar ist. Wenn Sie einen FIPS-Endpunkt verwenden, werden alle Daten während der Übertragung mit kryptografischen Standards verschlüsselt, die mit dem Federal Information Processing Standard (FIPS) 140-2 übereinstimmen. Informationen zu FIPS-Endpunkten, einschließlich einer Liste von WorkSpaces Anwendungsendpunkten, finden Sie unter [Federal Information Processing Standard](https://aws.amazon.com/compliance/fips) (FIPS) 140-2.
**Topics**
+ [FIPS-Endpunkte für administrative Verwendung](FIPS-for-administrative-use.md)
+ [FIPS-Endpunkte für Benutzer-Streaming-Sitzungen](FIPS-for-user-streaming-sessions.md)
+ [Ausnahmen](FIPS-exceptions.md)
# FIPS-Endpunkte für administrative Verwendung
Verwenden Sie den Parameter, um einen FIPS-Endpunkt anzugeben, wenn Sie einen AWS CLI Befehl für Anwendungen ausführen. WorkSpaces `endpoint-url` Im folgenden Beispiel wird der FIPS-Endpunkt WorkSpaces Applications in der Region USA West (Oregon) verwendet, um eine Liste aller Stacks in der Region abzurufen:
```
aws appstream describe-stacks --endpoint-url https://appstream2-fips.us-west-2.amazonaws.com
```
Um einen FIPS-Endpunkt für WorkSpaces Anwendungs-API-Operationen anzugeben, verwenden Sie das Verfahren in Ihrem AWS SDK zur Angabe eines benutzerdefinierten Endpunkts.
# FIPS-Endpunkte für Benutzer-Streaming-Sitzungen
Wenn Sie SAML 2.0 oder eine Streaming-URL zum Authentifizieren von Benutzern verwenden, können Sie FIPS-konforme Verbindungen für die Streaming-Sitzungen Ihrer Benutzer konfigurieren.
Um eine FIPS-konforme Verbindung für Benutzer zu verwenden, die sich mit SAML 2.0 authentifizieren, geben Sie bei der Konfiguration des Relay-Status Ihres WorkSpaces Verbunds einen FIPS-Endpunkt für Anwendungen an. Weitere Hinweise zum Erstellen einer Relaystatus-URL für Identitätsverbund mit SAML 2.0 finden Sie unter [Einrichten von SAML](external-identity-providers-setting-up-saml.md).
Um eine FIPS-konforme Verbindung für Benutzer zu konfigurieren, die sich über eine Streaming-URL authentifizieren, geben Sie einen FIPS-Endpunkt für WorkSpaces Anwendungen an, wenn Sie den [CreateStreamingCreateImageBuilderStreamingURL- oder URL-Vorgang](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateStreamingURL.html) [über die CLI](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateImageBuilderStreamingURL.html) oder ein SDK aufrufen. AWS AWS Ein Benutzer, der über die resultierende URL eine Verbindung zu einer Streaming-Instance herstellt, wird über eine FIPS-konforme Verbindung verbunden. Im folgenden Beispiel wird der FIPS-Endpunkt WorkSpaces Applications in der Region USA Ost (Virginia) verwendet, um eine FIPS-konforme Streaming-URL zu generieren:
```
aws appstream create-streaming-url --stack-name stack-name --fleet-name fleet-name --user-id user-id --endpoint-url https://appstream2-fips.us-east-1.amazonaws.com
```
# Ausnahmen
FIPS-konforme Verbindungen werden in den folgenden Szenarien nicht unterstützt:
+ Verwaltung von WorkSpaces Anwendungen über die Anwendungskonsole WorkSpaces
+ Streaming-Sitzungen für Benutzer, die sich mithilfe der Benutzerpool-Funktion für WorkSpaces Anwendungen authentifizieren
+ Streamen mithilfe eines Schnittstellen-VPC-Endpunkts
+ Generieren von FIPS-kompatiblem Streaming URLs über die Anwendungskonsole WorkSpaces
+ Verbindungen zu Ihren Google Drive- oder OneDrive Speicherkonten, für die Ihr Speicheranbieter keinen FIPS-Endpunkt bereitstellt