Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Sicherheit in WorkSpaces Amazon-Anwendungen
Cloud-Sicherheit AWS hat höchste Priorität. Als AWS Kunde profitieren Sie von einer Rechenzentrums- und Netzwerkarchitektur, die darauf ausgelegt sind, die Anforderungen der sicherheitssensibelsten Unternehmen zu erfüllen.
Sicherheit ist eine gemeinsame Verantwortung von Ihnen AWS und Ihnen. Das [Modell der übergreifenden Verantwortlichkeit](https://aws.amazon.com/compliance/shared-responsibility-model/) beschreibt dies als Sicherheit der Cloud und Sicherheit in der Cloud:
+ **Sicherheit der Cloud** — AWS ist verantwortlich für den Schutz der Infrastruktur, die AWS Dienste in der AWS Cloud ausführt. AWS bietet Ihnen auch Dienste, die Sie sicher nutzen können. Externe Prüfer testen und verifizieren regelmäßig die Wirksamkeit unserer Sicherheitsmaßnahmen im Rahmen der [AWS](https://aws.amazon.com/compliance/programs/) . Informationen zu den Compliance-Programmen, die für WorkSpaces Anwendungen gelten, finden Sie unter [AWS Services im Umfang nach Compliance-Programmen AWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Sicherheit in der Cloud** — Ihre Verantwortung richtet sich nach dem AWS Dienst, den Sie nutzen. Sie sind auch für andere Faktoren verantwortlich, etwa für die Vertraulichkeit Ihrer Daten, für die Anforderungen Ihres Unternehmens und für die geltenden Gesetze und Vorschriften.
Diese Dokumentation hilft Ihnen zu verstehen, wie Sie das Modell der gemeinsamen Verantwortung bei der Verwendung von WorkSpaces Anwendungen anwenden können. Es zeigt Ihnen, wie Sie WorkSpaces Anwendungen so konfigurieren, dass sie Ihre Sicherheits- und Compliance-Ziele erreichen. Sie erfahren auch, wie Sie andere AWS Dienste nutzen können, mit denen Sie Ihre WorkSpaces Anwendungsressourcen überwachen und schützen können.
**Topics**
+ [Datenschutz in WorkSpaces Amazon-Anwendungen](data-protection.md)
+ [Identity and Access Management für WorkSpaces Amazon-Anwendungen](controlling-access.md)
+ [Protokollierung und Überwachung in WorkSpaces Amazon-Anwendungen](logging-monitoring-alerting.md)
+ [Konformitätsprüfung für WorkSpaces Amazon-Anwendungen](compliance-validation.md)
+ [Resilienz in WorkSpaces Amazon-Anwendungen](disaster-recovery-resiliency.md)
+ [Infrastruktursicherheit in WorkSpaces Amazon-Anwendungen](infrastructure-security.md)
+ [Sicherheitsgruppen in WorkSpaces Amazon-Anwendungen](managing-network-security-groups.md)
+ [Verwaltung von Updates in WorkSpaces Amazon-Anwendungen](update-management.md)
+ [Service-übergreifende Prävention Amazon WorkSpaces Amazon-Anwendungen und verwirrtem Stellvertreter](confused-deputy.md)
+ [Bewährte Sicherheitsmethoden für WorkSpaces Amazon-Anwendungen](security-best-practices.md)
# Datenschutz in WorkSpaces Amazon-Anwendungen
Das AWS [Modell](https://aws.amazon.com/compliance/shared-responsibility-model/) der gilt für den Datenschutz in WorkSpaces Amazon-Anwendungen. Wie in diesem Modell beschrieben, AWS ist verantwortlich für den Schutz der globalen Infrastruktur, auf der alle Systeme laufen AWS Cloud. Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Dieser Inhalt enthält die Sicherheitskonfigurations- und Verwaltungsaufgaben für die von Ihnen verwendeten AWS-Services . Weitere Informationen zum Datenschutz finden Sie unter [Häufig gestellte Fragen zum Datenschutz](https://aws.amazon.com/compliance/data-privacy-faq). Informationen zum Datenschutz in Europa finden Sie im Blog-Beitrag [AWS -Modell der geteilten Verantwortung und in der DSGVO](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) im *AWS -Sicherheitsblog*.
Aus Datenschutzgründen empfehlen wir, dass Sie AWS-Konto Anmeldeinformationen schützen und einzelne Benutzer mit AWS Identity and Access Management (IAM) einrichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem sollten Sie die Daten mit folgenden Methoden schützen:
+ Verwenden Sie für jedes Konto die Multi-Faktor-Authentifizierung (MFA).
+ Wird verwendet SSL/TLS , um mit AWS Ressourcen zu kommunizieren. Wir empfehlen TLS 1.2.
+ Richten Sie die API und die Protokollierung von Benutzeraktivitäten mit ein AWS CloudTrail.
+ Verwenden Sie AWS Verschlüsselungslösungen zusammen mit allen Standardsicherheitskontrollen innerhalb der AWS Dienste.
+ Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu sichern.
+ Wenn Sie für den Zugriff AWS über eine Befehlszeilenschnittstelle oder eine API FIPS 140-2-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. Weitere Informationen über verfügbare FIPS-Endpunkte finden Sie unter [Federal Information Processing Standard (FIPS) 140-2](https://aws.amazon.com/compliance/fips/).
Wir empfehlen dringend, in Freitextfeldern wie z. B. im Feld **Name** keine vertraulichen oder sensiblen Informationen wie die E-Mail-Adressen Ihrer Kunden einzugeben. Dies gilt auch, wenn Sie mit WorkSpaces Anwendungen oder anderen AWS Diensten arbeiten, die die Konsole, die API oder verwenden. AWS CLI AWS SDKs Alle Daten, die Sie in Tags (Markierungen) oder Freiformfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie eine URL für einen externen Server bereitstellen, empfehlen wir dringend, Sie keine Anmeldeinformationen zur Validierung Ihrer Anforderung an den betreffenden Server in die URL einzuschließen.
**Topics**
+ [Verschlüsselung im Ruhezustand](encryption-rest.md)
+ [Verschlüsselung während der Übertragung](encryption-transit.md)
+ [Administrator-Steuerelemente](administrator-controls.md)
+ [Anwendungszugriff](application-access.md)
# Verschlüsselung im Ruhezustand
WorkSpaces Flotteninstanzen von Anwendungen sind ihrer Natur nach kurzlebig. Nachdem die Streaming-Sitzung eines Benutzers abgeschlossen ist, werden die zugrunde liegende Instance und das zugehörige Amazon-Elastic-Block-Store-(Amazon-EBS)-Volume beendet. Darüber hinaus recycelt WorkSpaces Applications in regelmäßigen Abständen ungenutzte Instances, um deren Aktualität zu gewährleisten.
Wenn Sie die [Persistenz der Anwendungseinstellungen](how-it-works-app-settings-persistence.md), [Basisordner](home-folders-admin.md), [Sitzungsskripts](enable-S3-bucket-storage-session-script-logs.md) oder [Nutzungsberichte](enable-usage-reports.md) für Ihre Benutzer aktivieren, werden die von Ihren Benutzern generierten und in Amazon Simple Storage Service-Buckets gespeicherten Daten im Ruhezustand verschlüsselt. AWS Key Management Service ist ein Service, der sichere, hochverfügbare Hardware und Software kombiniert, um ein für die Cloud skaliertes Schlüsselverwaltungssystem bereitzustellen. Amazon S3 verwendet [AWS Managed CMKs](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk), um Ihre Amazon S3 S3-Objektdaten zu verschlüsseln.
# Verschlüsselung während der Übertragung
Die folgende Tabelle enthält Informationen darüber, wie Daten während der Übertragung verschlüsselt werden. Gegebenenfalls sind auch andere Datenschutzmethoden für WorkSpaces Anwendungen aufgeführt.
| Daten | Netzwerkpfad | Art des Schutzes |
| --- | --- | --- |
| Webkomponenten Dieser Datenverkehr umfasst Ressourcen wie Bilder und JavaScript Dateien. | Zwischen WorkSpaces Anwendungen, Benutzern und WorkSpaces Anwendungen | Verschlüsselt mit TLS 1.2 |
| Pixel und zugehöriger Streaming-Datenverkehr | Zwischen WorkSpaces Anwendungsbenutzern und WorkSpaces Anwendungen | Verschlüsselt mit 256-Bit Advanced Encryption Standard (AES-256) Transportiert mit TLS 1.2 |
| API-Datenverkehr | Zwischen WorkSpaces Anwendungsbenutzern und WorkSpaces Anwendungen | Verschlüsselt mit TLS 1.2 Anfragen zum Erstellen einer Verbindung werden mit SigV4 signiert. |
| Von Benutzern generierte Anwendungseinstellungen und Basisordnerdaten Anwendbar, wenn Persistenz von Anwendungseinstellungen und Basisordner aktiviert sind. | Zwischen WorkSpaces Anwendungsbenutzern und Amazon S3 | Verschlüsselt mit Amazon-S3-SSL-Endpunkten |
| WorkSpaces Von Anwendungen verwalteter Datenverkehr | Zwischen WorkSpaces Anwendungs-Streaming-Instanzen und: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/appstream2/latest/developerguide/encryption-transit.html) | Verschlüsselt mit TLS 1.2 Anfragen zum Erstellen einer Verbindung werden ggf. mit SigV4 signiert |
# Administrator-Steuerelemente
WorkSpaces Applications bietet administrative Steuerelemente, mit denen Sie einschränken können, wie Benutzer Daten zwischen ihrem lokalen Computer und einer WorkSpaces Applications-Flotteninstanz übertragen können. Sie können Folgendes einschränken oder deaktivieren, wenn Sie [einen WorkSpaces Anwendungsstapel erstellen oder aktualisieren](set-up-stacks-fleets-install.md):
+ Zwischenablage-/Kopier- und Einfügeaktionen
+ Upload und Download von Dateien, einschließlich Ordner- und Laufwerksumleitung
+ Drucken
Wenn Sie ein WorkSpaces Anwendungs-Image erstellen, können Sie angeben, welche USB-Geräte verfügbar sind, um vom WorkSpaces Applications Client für Windows zu WorkSpaces Applications Fleet-Instances umzuleiten. Die von Ihnen angegebenen USB-Geräte können während der WorkSpaces Anwendungs-Streaming-Sitzungen der Benutzer verwendet werden. Weitere Informationen finden Sie unter [Qualifizieren von USB-Geräten für die Verwendung mit Streaming-Anwendungen](qualify-usb-devices.md).
# Anwendungszugriff
Standardmäßig ermöglicht WorkSpaces Applications den Anwendungen, die Sie in Ihrem Image angeben, das Starten anderer Anwendungen und ausführbarer Dateien auf dem Image Builder und der Flotteninstanz. Dadurch wird sichergestellt, dass Anwendungen mit Abhängigkeiten von anderen Anwendungen (z. B. einer Anwendung, die den Browser startet, um zu einer Produktwebsite zu navigieren) erwartungsgemäß funktionieren. Stellen Sie sicher, dass Sie administrative Steuerelemente, Sicherheitsgruppen und andere Sicherheitssoftware so konfigurieren, dass Benutzern die Mindestberechtigungen gewährt werden, die für den Zugriff auf Ressourcen und die Übertragung von Daten zwischen ihren lokalen Computern und Flotten-Instances erforderlich sind.
Sie können Anwendungssteuerungssoftware wie [Microsoft](https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/applocker/applocker-overview) und Richtlinien verwenden AppLocker, um zu steuern, welche Anwendungen und Dateien Ihre Benutzer ausführen können. Mithilfe von Software und Richtlinien zur Anwendungssteuerung können Sie die ausführbaren Dateien, Skripts, Windows Installer-Dateien, Bibliotheken mit dynamischen Links und Anwendungspakete steuern, die Ihre Benutzer auf WorkSpaces Applications Image Buildern und Flotteninstanzen ausführen können.
**Anmerkung**
Die WorkSpaces Applications Agent-Software stützt sich bei der Bereitstellung von Streaming-Instanzen auf die Windows-Befehlszeile und Windows Powershell. Wenn Sie verhindern möchten, dass Benutzer die Windows-Eingabeaufforderung oder Windows Powershell starten, dürfen die Richtlinien nicht für Windows NT AUTHORITY\$1SYSTEM oder Benutzer in der Gruppe „Administratoren“ gelten.
| Art der Regel | Action | Windows-Benutzer oder -Gruppe | Name/Pfad | Bedingung | Description |
| --- | --- | --- | --- | --- | --- |
| Ausführbare Datei | Sobald Sie die Details auf dieser Seite überprüft haben, klicken Sie auf | NT AUTHORITY\$1System | \$1 | Pfad | Erforderlich für die WorkSpaces Applications Agent-Software |
| Ausführbare Datei | Sobald Sie die Details auf dieser Seite überprüft haben, klicken Sie auf | BUILTIN\$1Administratoren | \$1 | Pfad | Erforderlich für die WorkSpaces Applications Agent-Software |
| Ausführbare Datei | Sobald Sie die Details auf dieser Seite überprüft haben, klicken Sie auf | Alle | %PROGRAMFILES%\$1nodejs\$1\$1 | Pfad | Erforderlich für die WorkSpaces Applications Agent-Software |
| Ausführbare Datei | Sobald Sie die Details auf dieser Seite überprüft haben, klicken Sie auf | Alle | %PROGRAMFILES%\$1NICE\$1\$1 | Pfad | Erforderlich für die WorkSpaces Applications Agent-Software |
| Ausführbare Datei | Sobald Sie die Details auf dieser Seite überprüft haben, klicken Sie auf | Alle | %PROGRAMFILES%\$1Amazon\$1\$1 | Pfad | Erforderlich für die WorkSpaces Applications Agent-Software |
| Ausführbare Datei | Sobald Sie die Details auf dieser Seite überprüft haben, klicken Sie auf | Alle | %PROGRAMFILES%\$1 < >\$1 \$1 default-browser | Pfad | Erforderlich für die WorkSpaces Applications Agent-Software, wenn persistente Speicherlösungen wie Google Drive oder Microsoft OneDrive for Business verwendet werden. Diese Ausnahme ist nicht erforderlich, wenn WorkSpaces Anwendungs-Home-Ordner verwendet werden. |
# Identity and Access Management für WorkSpaces Amazon-Anwendungen
Ihre Sicherheitsnachweise identifizieren Sie gegenüber Diensten AWS und gewähren Ihnen die uneingeschränkte Nutzung Ihrer AWS Ressourcen, wie z. B. Ihrer WorkSpaces Anwendungsressourcen. Sie können die Funktionen von WorkSpaces Applications und AWS Identity and Access Management (IAM) verwenden, um anderen Benutzern, Diensten und Anwendungen die Nutzung Ihrer WorkSpaces Anwendungsressourcen zu ermöglichen, ohne Ihre Sicherheitsdaten weiterzugeben.
Sie können IAM verwenden, um zu kontrollieren, wie andere Benutzer Ressourcen in Ihrem Amazon Web Services Services-Konto verwenden, und Sie können Sicherheitsgruppen verwenden, um den Zugriff auf Ihre WorkSpaces Applications-Streaming-Instances zu kontrollieren. Sie können die vollständige oder eingeschränkte Nutzung Ihrer WorkSpaces Anwendungsressourcen zulassen.
**Topics**
+ [Netzwerkzugriff auf Ihre Streaming-Instance](network-access-to-streaming-instances.md)
+ [Verwenden von AWS verwalteten Richtlinien und verknüpften Rollen zur Verwaltung des Administratorzugriffs auf WorkSpaces Anwendungsressourcen](controlling-administrator-access-with-policies-roles.md)
+ [Verwenden von IAM-Richtlinien zur Verwaltung des Administratorzugriffs auf Application Auto Scaling](autoscaling-iam-policy.md)
+ [Verwenden von IAM-Richtlinien zum Verwalten des Administratorzugriffs auf den Amazon-S3-Bucket für Basisordner und die Persistenz von Anwendungseinstellungen](s3-iam-policy.md)
+ [Verwenden einer IAM-Rolle zum Erteilen von Berechtigungen für Anwendungen und Skripts, die auf Anwendungs-Streaming-Instances ausgeführt werden WorkSpaces](using-iam-roles-to-grant-permissions-to-applications-scripts-streaming-instances.md)
+ [SELinux auf Red Hat Enterprise Linux und Rocky Linux](selinux.md)
+ [Cookie-basierte Authentifizierung in Amazon-Anwendungen WorkSpaces](cookie-auth.md)
# Netzwerkzugriff auf Ihre Streaming-Instance
Eine Sicherheitsgruppe fungiert als zustandsbehaftete Firewall, die steuert, welcher Datenverkehr zu Ihrer Streaming-Instances gelangen darf. Wenn Sie eine WorkSpaces Anwendungs-Streaming-Instance starten, weisen Sie sie einer oder mehreren Sicherheitsgruppen zu. Fügen Sie dann jeder Sicherheitsgruppe Regeln hinzu, die den Datenverkehr für die Instance kontrollieren. Sie können die Regeln für eine Sicherheitsgruppe jederzeit ändern. Die neuen Regeln werden automatisch auf alle Instances angewendet, denen die Sicherheitsgruppe zugewiesen ist.
Weitere Informationen finden Sie unter [Sicherheitsgruppen in WorkSpaces Amazon-Anwendungen](managing-network-security-groups.md).
# Verwenden von AWS verwalteten Richtlinien und verknüpften Rollen zur Verwaltung des Administratorzugriffs auf WorkSpaces Anwendungsressourcen
Standardmäßig verfügen IAM-Benutzer nicht über die erforderlichen Berechtigungen, um WorkSpaces Anwendungsressourcen zu erstellen oder zu ändern oder Aufgaben mithilfe der WorkSpaces Anwendungs-API auszuführen. Das bedeutet, dass diese Benutzer diese Aktionen nicht in der WorkSpaces Anwendungskonsole oder mithilfe von WorkSpaces AWS Anwendungs-CLI-Befehlen ausführen können. Damit IAM-Benutzer Ressourcen erstellen oder ändern und Aufgaben ausführen können, ordnen Sie den IAM-Benutzern oder Gruppen, für die diese Berechtigungen erforderlich sind, eine IAM-Richtlinie zu.
Wenn Sie einem Benutzer, einer Benutzergruppe oder IAM-Rolle eine Richtlinie zuordnen, wird den Benutzern die Ausführung der angegebenen Aufgaben für die angegebenen Ressourcen gestattet oder verweigert.
**Topics**
+ [AWS Für den Zugriff auf WorkSpaces Anwendungsressourcen sind verwaltete Richtlinien erforderlich](managed-policies-required-to-access-appstream-resources.md)
+ [Erforderliche Rollen für WorkSpaces Anwendungen, Application Auto Scaling und AWS Certificate Manager Private CA](roles-required-for-appstream.md)
+ [Suchen Sie nach der AmazonAppStreamServiceAccess Servicerolle und den Richtlinien](controlling-access-checking-for-iam-service-access.md)
+ [Suchen nach der Servicerolle und den Richtlinien für ApplicationAutoScalingForAmazonAppStreamAccess](controlling-access-checking-for-iam-autoscaling.md)
+ [Suchen nach der serviceverknüpften Rolle und den Richtlinien für `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet`](controlling-access-checking-for-iam-service-linked-role-application-autoscaling-appstream-fleet.md)
+ [Suchen Sie nach der AmazonAppStream PCAAccess Servicerolle und den Richtlinien](controlling-access-checking-for-AppStreamPCAAccess.md)
# AWS Für den Zugriff auf WorkSpaces Anwendungsressourcen sind verwaltete Richtlinien erforderlich
Um vollen administrativen oder schreibgeschützten Zugriff auf WorkSpaces Anwendungen zu gewähren, müssen Sie den IAM-Benutzern oder -Gruppen, die diese Berechtigungen benötigen, eine der folgenden AWS verwalteten Richtlinien zuordnen. Bei einer von *AWS verwalteten Richtlinie* handelt es sich um eine eigenständige Richtlinie, die von AWS erstellt und verwaltet wird. Weitere Informationen finden Sie unter [AWS -verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.
**Anmerkung**
In werden IAM-Rollen verwendet AWS, um einem AWS Dienst Berechtigungen zu erteilen, sodass dieser auf Ressourcen zugreifen kann. AWS Die Richtlinien, die der Rolle zugeordnet sind, bestimmen, auf welche AWS Ressourcen der Dienst zugreifen kann und was er mit diesen Ressourcen machen kann. Für WorkSpaces Anwendungen müssen Sie nicht nur über die in der **AmazonAppStreamFullAccess**Richtlinie definierten Berechtigungen verfügen, sondern auch über die erforderlichen Rollen in Ihrem AWS Konto verfügen. Weitere Informationen finden Sie unter [Erforderliche Rollen für WorkSpaces Anwendungen, Application Auto Scaling und AWS Certificate Manager Private CA](roles-required-for-appstream.md).
**AmazonAppStreamFullAccess**
Diese verwaltete Richtlinie bietet vollen Administratorzugriff auf WorkSpaces Anwendungsressourcen. Um WorkSpaces Anwendungsressourcen zu verwalten und API-Aktionen über die AWS Befehlszeilenschnittstelle (AWS CLI), AWS das SDK oder die AWS Managementkonsole auszuführen, müssen Sie über die in dieser Richtlinie definierten Berechtigungen verfügen.
Wenn Sie sich als IAM-Benutzer bei der WorkSpaces Anwendungskonsole anmelden, müssen Sie diese Richtlinie an Ihre AWS-Konto anhängen. Wenn Sie sich über den Konsolenverbund anmelden, müssen Sie diese Richtlinie der IAM-Rolle anfügen, die für den Verbund verwendet wurde.
Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [AmazonAppStreamFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamFullAccess.html).
**AmazonAppStreamReadOnlyAccess**
Diese identitätsbasierte Richtlinie gewährt Benutzern nur Leseberechtigungen zum Anzeigen und Überwachen von WorkSpaces Anwendungsressourcen und zugehörigen Dienstkonfigurationen. Benutzer können auf die WorkSpaces Anwendungskonsole zugreifen, um Streaming-Anwendungen, den Flottenstatus, Nutzungsberichte und zugehörige Ressourcen einzusehen, können jedoch keine Änderungen vornehmen. Die Richtlinie umfasst auch die erforderlichen Leseberechtigungen für die Unterstützung von Diensten wie IAM und CloudWatch Application Auto Scaling sowie für umfassende Überwachungs- und Berichtsfunktionen.
Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [AmazonAppStreamReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamReadOnlyAccess.html).
Die WorkSpaces Anwendungskonsole verwendet eine zusätzliche Aktion, die Funktionen bereitstellt, die über die AWS CLI oder das AWS SDK nicht verfügbar sind. Die **AmazonAppStreamReadOnlyAccess**Richtlinien **AmazonAppStreamFullAccess**und beide bieten Berechtigungen für die folgende Aktion.
| Action | Description | Zugriffsebene |
| --- | --- | --- |
| DescribeImageBuilders | Gewährt die Berechtigung zum Abrufen einer Liste, die eine oder mehrere angegebene Image Builder beschreibt, sofern die Namen der Image Builder angegeben werden. Andernfalls werden alle Image-Builder im Konto beschrieben. | Lesen |
**AmazonAppStreamPCAAccess**
Diese verwaltete Richtlinie bietet vollen Administratorzugriff auf AWS Certificate Manager Private CA-Ressourcen in Ihrem AWS Konto für die zertifikatsbasierte Authentifizierung.
Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter. [AmazonAppStreamPCAAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamPCAAccess.html)
**AmazonAppStreamServiceAccess**
Diese verwaltete Richtlinie ist die Standardrichtlinie für die WorkSpaces Anwendungsdienstrolle.
Mit dieser Richtlinie für Rollenberechtigungen können WorkSpaces Anwendungen die folgenden Aktionen ausführen:
+ Wenn Sie Subnetze in Ihrem Konto für Ihre WorkSpaces Anwendungsflotten verwenden, ist WorkSpaces Applications in der Lage VPCs, Subnetze und Verfügbarkeitszonen zu beschreiben sowie den Lebenszyklus aller Elastic Network-Schnittstellen zu erstellen und zu verwalten, die mit den Flotteninstanzen in diesen Subnetzen verknüpft sind. Dazu gehört auch, dass Sie Sicherheitsgruppen und IP-Adressen aus diesen Subnetzen an diese elastischen Netzwerkschnittstellen anhängen können.
+ Bei Verwendung von Funktionen wie UPP und HomeFolders kann WorkSpaces Applications Amazon S3 S3-Buckets, Objekte und deren Lebenszyklen, Richtlinien und Verschlüsselungskonfigurationen im Konto erstellen und verwalten. Diese Buckets enthalten die folgenden Namenspräfixe:
+ `"arn:aws:s3:::appstream2-36fb080bb8-",`
+ `"arn:aws:s3:::appstream-app-settings-",`
+ `"arn:aws:s3:::appstream-logs-"`
Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter. [AmazonAppStreamServiceAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamServiceAccess.html)
**ApplicationAutoScalingForAmazonAppStreamAccess**
Diese verwaltete Richtlinie ermöglicht die automatische Skalierung von WorkSpaces Anwendungen.
Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [ApplicationAutoScalingForAmazonAppStreamAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ApplicationAutoScalingForAmazonAppStreamAccess.html).
**AWSApplicationAutoscalingAppStreamFleetPolicy**
Diese verwaltete Richtlinie gewährt Application Auto Scaling Berechtigungen für den Zugriff auf WorkSpaces Anwendungen und CloudWatch .
Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [AWSApplicationAutoscalingAppStreamFleetPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSApplicationAutoscalingAppStreamFleetPolicy.html).
## WorkSpaces Aktualisierungen AWS verwalteter Richtlinien durch Anwendungen
Hier finden Sie Informationen zu Aktualisierungen der AWS verwalteten Richtlinien für WorkSpaces Anwendungen, seit dieser Dienst begonnen hat, diese Änderungen zu verfolgen. Um automatische Warnungen über Änderungen an dieser Seite zu erhalten, abonnieren Sie den RSS-Feed auf der [Dokumentenverlauf für WorkSpaces Amazon-Anwendungen](doc-history.md)-Seite.
| Änderungen | Beschreibung | Date |
| --- | --- | --- |
| AmazonAppStreamServiceAccess — Änderung | Dem JSON-Richtliniendokument `"ec2:DescribeImages"` zur Richtlinie wurden Genehmigungsberechtigungen für hinzugefügt | 17. November 2025 |
| AmazonAppStreamReadOnlyAccess — Veränderung | `"appstream:Get*",`Aus dem JSON-Richtliniendokument entfernt | 22. Oktober 2025 |
| WorkSpaces Anwendungen haben begonnen, Änderungen zu verfolgen | WorkSpaces Die Anwendungen begannen, Änderungen für die von ihnen AWS verwalteten Richtlinien nachzuverfolgen | 31. Oktober 2022 |
# Erforderliche Rollen für WorkSpaces Anwendungen, Application Auto Scaling und AWS Certificate Manager Private CA
In werden IAM-Rollen verwendet AWS, um einem AWS Dienst Berechtigungen zu erteilen, sodass dieser auf AWS Ressourcen zugreifen kann. Die Richtlinien, die der Rolle zugeordnet sind, bestimmen, auf welche AWS Ressourcen der Dienst zugreifen kann und was er mit diesen Ressourcen machen kann. Für WorkSpaces Anwendungen müssen Sie nicht nur über die in der **AmazonAppStreamFullAccess**Richtlinie definierten Berechtigungen verfügen, sondern auch über die folgenden Rollen in Ihrem AWS Konto verfügen.
**Topics**
+ [AmazonAppStreamServiceAccess](#AmazonAppStreamServiceAccess)
+ [ApplicationAutoScalingForAmazonAppStreamAccess](#ApplicationAutoScalingForAmazonAppStreamAccess)
+ [AWSServiceRoleForApplicationAutoScaling\$1AppStreamFleet](#AWSServiceRoleForApplicationAutoScaling_AppStreamFleet)
+ [AmazonAppStreamPCAAccess](#AppStreamPCAAccess)
## AmazonAppStreamServiceAccess
Bei dieser Rolle handelt es sich um eine Servicerolle, die automatisch für Sie erstellt wird, wenn Sie mit WorkSpaces Anwendungen in einer AWS Region beginnen. Weitere Informationen zu Servicerollen finden Sie im *IAM-Benutzerhandbuch* unter [Erstellen einer Rolle zum Delegieren von Berechtigungen für einen AWS Dienst](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html).
Während WorkSpaces Anwendungsressourcen erstellt werden, führt der WorkSpaces Applications-Service in Ihrem Namen API-Aufrufe an andere AWS Dienste durch, indem er diese Rolle übernimmt. Um Flotten zu erstellen, müssen Sie diese Rolle in Ihrem Konto haben. Wenn diese Rolle nicht in Ihrem AWS Konto enthalten ist und die erforderlichen IAM-Berechtigungen und Vertrauensstellungsrichtlinien nicht angehängt sind, können Sie keine WorkSpaces Anwendungsflotten erstellen.
Weitere Informationen finden Sie unter [Suchen Sie nach der AmazonAppStreamServiceAccess Servicerolle und den Richtlinien](controlling-access-checking-for-iam-service-access.md) So überprüfen Sie, ob die **AmazonAppStreamServiceAccess**Servicerolle vorhanden ist und ob sie mit den richtigen Richtlinien verknüpft ist.
**Anmerkung**
Diese Servicerolle kann andere Berechtigungen haben als die des ersten Benutzers, der mit WorkSpaces Applications anfängt. Einzelheiten zu den Berechtigungen dieser Rolle finden Sie unter „AmazonAppStreamServiceAccess“ in[AWS Für den Zugriff auf WorkSpaces Anwendungsressourcen sind verwaltete Richtlinien erforderlich](managed-policies-required-to-access-appstream-resources.md).
## ApplicationAutoScalingForAmazonAppStreamAccess
Bei dieser Rolle handelt es sich um eine Servicerolle, die automatisch für Sie erstellt wird, wenn Sie mit WorkSpaces Anwendungen in einer AWS Region beginnen. Weitere Informationen zu Servicerollen finden Sie im *IAM-Benutzerhandbuch* unter [Erstellen einer Rolle zum Delegieren von Berechtigungen für einen AWS Dienst](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html).
Die automatische Skalierung ist eine Funktion von WorkSpaces Applications Fleets. Um Skalierungsrichtlinien zu konfigurieren, müssen Sie diese Servicerolle in Ihrem AWS Konto haben. Wenn diese Servicerolle nicht in Ihrem AWS Konto enthalten ist und die erforderlichen IAM-Berechtigungen und Vertrauensstellungsrichtlinien nicht angehängt sind, können Sie WorkSpaces Anwendungsflotten nicht skalieren.
Weitere Informationen finden Sie unter [Suchen nach der Servicerolle und den Richtlinien für ApplicationAutoScalingForAmazonAppStreamAccess](controlling-access-checking-for-iam-autoscaling.md).
## AWSServiceRoleForApplicationAutoScaling\$1AppStreamFleet
Bei dieser Rolle handelt es sich um eine serviceverknüpfte Rolle, die automatisch für Sie erstellt wird. Weitere Informationen finden Sie unter [Serviceverknüpfte Rollen](https://docs.aws.amazon.com/autoscaling/application/userguide/application-auto-scaling-service-linked-roles.html) im *Application Auto Scaling-Benutzerhandbuch*.
Application Auto Scaling verwendet eine serviceverknüpfte Rolle, um die automatische Skalierung in Ihrem Namen durchzuführen. Eine *dienstverknüpfte Rolle* ist eine IAM-Rolle, die direkt mit einem Dienst verknüpft ist. AWS Diese Rolle umfasst alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.
Weitere Informationen finden Sie unter [Suchen nach der serviceverknüpften Rolle und den Richtlinien für `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet`](controlling-access-checking-for-iam-service-linked-role-application-autoscaling-appstream-fleet.md).
## AmazonAppStreamPCAAccess
Bei dieser Rolle handelt es sich um eine Servicerolle, die automatisch für Sie erstellt wird, wenn Sie mit WorkSpaces Anwendungen in einer AWS Region beginnen. Weitere Informationen zu Servicerollen finden Sie im *IAM-Benutzerhandbuch* unter [Erstellen einer Rolle zum Delegieren von Berechtigungen für einen AWS Dienst](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html).
Die zertifikatsbasierte Authentifizierung ist eine Funktion von WorkSpaces Anwendungsflotten, die Microsoft Active Directory-Domänen angehören. Um die zertifikatsbasierte Authentifizierung zu aktivieren und zu verwenden, müssen Sie diese Servicerolle in Ihrem Konto haben. AWS Wenn diese Servicerolle nicht in Ihrem AWS Konto enthalten ist und die erforderlichen IAM-Berechtigungen und Vertrauensstellungsrichtlinien nicht angehängt sind, können Sie die zertifikatsbasierte Authentifizierung nicht aktivieren oder verwenden.
Weitere Informationen finden Sie unter [Suchen Sie nach der AmazonAppStream PCAAccess Servicerolle und den Richtlinien](controlling-access-checking-for-AppStreamPCAAccess.md).
# Suchen Sie nach der AmazonAppStreamServiceAccess Servicerolle und den Richtlinien
Befolgen Sie die Schritte in diesem Abschnitt, um zu überprüfen, ob die **AmazonAppStreamServiceAccess**-Servicerolle vorhanden ist und der Rolle die richtigen Richtlinien angefügt sind. Wenn diese Rolle nicht in Ihrem Konto enthalten ist und erstellt werden muss, müssen Sie oder ein Administrator mit den erforderlichen Berechtigungen die Schritte ausführen, um mit WorkSpaces Anwendungen in Ihrem Amazon Web Services Services-Konto zu beginnen.
**Um zu überprüfen, ob die AmazonAppStreamServiceAccess IAM-Servicerolle vorhanden ist**
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Wählen Sie im Navigationsbereich **Rollen**.
1. Geben Sie im Suchfeld **amazonappstreamservice** ein, um die Liste der auszuwählenden Rollen einzugrenzen, und wählen Sie dann aus. **AmazonAppStreamServiceAccess** Wenn diese Rolle aufgeführt ist, wählen Sie sie aus, um die Seite **Summary (Zusammenfassung)** für die Rolle anzuzeigen.
1. Prüfen Sie auf der Registerkarte **Berechtigungen**, ob die **AmazonAppStreamServiceAccess**-Berechtigungsrichtlinie angefügt ist.
1. Kehren Sie zur Seite **Summary (Zusammenfassung)** der Rolle zurück.
1. Klicken Sie auf der Registerkarte **Vertrauensstellungen** auf **Richtliniendokument anzeigen** und prüfen Sie, ob die Vertrauensstellungsrichtlinie **AmazonAppStreamServiceAccess** angefügt ist und das richtige Format hat. Wenn dies der Fall ist, wurde die Vertrauensstellung ordnungsgemäß konfiguriert. Klicken Sie auf **Abbrechen** und schließen Sie die IAM-Konsole.
## AmazonAppStreamServiceAccess Richtlinie für Vertrauensbeziehungen
Die **AmazonAppStreamServiceAccess**Vertrauensbeziehungsrichtlinie muss den WorkSpaces Anwendungsdienst als Prinzipal beinhalten. Ein *Principal* ist eine Entität AWS , die Aktionen ausführen und auf Ressourcen zugreifen kann. Diese Richtlinie muss auch die Aktion `sts:AssumeRole` enthalten. Die folgende Richtlinienkonfiguration definiert WorkSpaces Anwendungen als vertrauenswürdige Entität.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "appstream.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# Suchen nach der Servicerolle und den Richtlinien für ApplicationAutoScalingForAmazonAppStreamAccess
Befolgen Sie die Schritte in diesem Abschnitt, um zu überprüfen, ob die **ApplicationAutoScalingForAmazonAppStreamAccess**-Servicerolle vorhanden ist und der Rolle die richtigen Richtlinien angefügt sind. Wenn diese Rolle nicht in Ihrem Konto enthalten ist und erstellt werden muss, müssen Sie oder ein Administrator mit den erforderlichen Berechtigungen die Schritte ausführen, um mit WorkSpaces Anwendungen in Ihrem Amazon Web Services Services-Konto zu beginnen.
**So überprüfen Sie, ob die ApplicationAutoScalingForAmazonAppStreamAccess-IAM-Servicerolle vorhanden ist**
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Wählen Sie im Navigationsbereich **Rollen**.
1. Geben Sie in das Suchfeld **applicationautoscaling** ein, um die Liste der auszuwählenden Rollen einzuschränken, und wählen Sie dann **ApplicationAutoScalingForAmazonAppStreamAccess** aus. Wenn diese Rolle aufgeführt ist, wählen Sie sie aus, um die Seite **Summary (Zusammenfassung)** für die Rolle anzuzeigen.
1. Prüfen Sie auf der Registerkarte **Berechtigungen**, ob die **ApplicationAutoScalingForAmazonAppStreamAccess**-Berechtigungsrichtlinie angefügt ist.
1. Kehren Sie zur Seite **Summary (Zusammenfassung)** der Rolle zurück.
1. Klicken Sie auf der Registerkarte **Vertrauensstellungen** auf **Richtliniendokument anzeigen** und prüfen Sie, ob die Vertrauensstellungsrichtlinie **ApplicationAutoScalingForAmazonAppStreamAccess** angefügt ist und das richtige Format hat. Wenn dies der Fall ist, wurde die Vertrauensstellung ordnungsgemäß konfiguriert. Klicken Sie auf **Abbrechen** und schließen Sie die IAM-Konsole.
## ApplicationAutoScalingForAmazonAppStreamAccess-Vertrauensstellungsrichtlinie
Die Vertrauensstellungsrichtlinie **ApplicationAutoScalingForAmazonAppStreamAccess** muss den Application-Auto-Scaling-Service als Prinzipal enthalten. Diese Richtlinie muss auch die Aktion `sts:AssumeRole` enthalten. Die folgende Richtlinienkonfiguration definiert Application Auto Scaling als vertrauenswürdige Entität.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "application-autoscaling.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# Suchen nach der serviceverknüpften Rolle und den Richtlinien für `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet`
Befolgen Sie die Schritte in diesem Abschnitt, um zu überprüfen, ob die serviceverknüpfte `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet`-Rolle vorhanden ist und der Rolle die richtigen Richtlinien angefügt sind. Wenn diese Rolle nicht in Ihrem Konto enthalten ist und erstellt werden muss, müssen Sie oder ein Administrator mit den erforderlichen Berechtigungen die Schritte ausführen, um mit WorkSpaces Anwendungen in Ihrem Amazon Web Services Services-Konto zu beginnen.
**So überprüfen Sie, ob die serviceverknüpfte `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet`-IAM-Rolle vorhanden ist**
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Wählen Sie im Navigationsbereich **Rollen**.
1. Geben Sie in das Suchfeld **applicationautoscaling** ein, um die Liste der auszuwählenden Rollen einzuschränken, und wählen Sie dann `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` aus. Wenn diese Rolle aufgeführt ist, wählen Sie sie aus, um die Seite **Summary (Zusammenfassung)** für die Rolle anzuzeigen.
1. Prüfen Sie auf der Registerkarte **Berechtigungen**, ob die `AWSApplicationAutoscalingAppStreamFleetPolicy`-Berechtigungsrichtlinie angefügt ist.
1. Kehren Sie zur Übersichtsseite **Role (Rolle)** zurück.
1. Klicken Sie auf der Registerkarte **Vertrauensstellungen** auf **Richtliniendokument anzeigen** und prüfen Sie, ob die Vertrauensstellungsrichtlinie `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` angefügt ist und das richtige Format hat. Wenn dies der Fall ist, wurde die Vertrauensstellung ordnungsgemäß konfiguriert. Klicken Sie auf **Abbrechen** und schließen Sie die IAM-Konsole.
## AWSServiceRoleForApplicationAutoScaling\$1AppStreamFleet Richtlinie für Vertrauensbeziehungen
Die Vertrauensstellungsrichtlinie `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` muss **appstream.application-autoscaling.amazonaws.com** als Prinzipal enthalten. Diese Richtlinie muss auch die Aktion `sts:AssumeRole` enthalten. Die folgende Richtlinienkonfiguration definiert **appstream.application-autoscaling.amazonaws.com** als vertrauenswürdige Entität.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "appstream.application-autoscaling.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# Suchen Sie nach der AmazonAppStream PCAAccess Servicerolle und den Richtlinien
Befolgen Sie die Schritte in diesem Abschnitt, um zu überprüfen, ob die **AmazonAppStreamPCAAccess**-Servicerolle vorhanden ist und der Rolle die richtigen Richtlinien angefügt sind. Wenn diese Rolle nicht in Ihrem Konto enthalten ist und erstellt werden muss, müssen Sie oder ein Administrator mit den erforderlichen Berechtigungen die Schritte ausführen, um mit WorkSpaces Anwendungen in Ihrem Amazon Web Services Services-Konto zu beginnen.
**Um zu überprüfen, ob die AmazonAppStream PCAAccess IAM-Servicerolle vorhanden ist**
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Wählen Sie im Navigationsbereich **Rollen**.
1. Geben Sie in das Suchfeld **appstreampca** ein, um die Liste der auszuwählenden Rollen einzugrenzen, und wählen Sie dann aus. **AmazonAppStreamPCAAccess** Wenn diese Rolle aufgeführt ist, wählen Sie sie aus, um die Seite **Summary (Zusammenfassung)** für die Rolle anzuzeigen.
1. Prüfen Sie auf der Registerkarte **Berechtigungen**, ob die **AmazonAppStreamPCAAccess **-Berechtigungsrichtlinie angefügt ist.
1. Kehren Sie zur Übersichtsseite **Role (Rolle)** zurück.
1. Klicken Sie auf der Registerkarte **Vertrauensstellungen** auf **Richtliniendokument anzeigen** und prüfen Sie, ob die Vertrauensstellungsrichtlinie **AmazonAppStreamPCAAccess ** angefügt ist und das richtige Format hat. Wenn dies der Fall ist, wurde die Vertrauensstellung ordnungsgemäß konfiguriert. Klicken Sie auf **Abbrechen** und schließen Sie die IAM-Konsole.
## AmazonAppStreamPCAAccess Richtlinie für Vertrauensbeziehungen
Die Richtlinie für **AmazonAppStreamPCAAccess**Vertrauensbeziehungen muss prod.euc.ecm.amazonaws.com als Prinzipal beinhalten. Diese Richtlinie muss auch die Aktion `sts:AssumeRole` enthalten. Die folgende Richtlinienkonfiguration definiert ECM als vertrauenswürdige Entität.
**So erstellen Sie die AmazonAppStream PCAAccess Vertrauensbeziehungsrichtlinie mit der AWS CLI**
1. Erstellen Sie eine JSON-Datei namens `AmazonAppStreamPCAAccess.json` mit dem folgenden Text.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"prod.euc.ecm.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {}
}
]
}
```
------
1. Passen Sie den `AmazonAppStreamPCAAccess.json` Pfad nach Bedarf an und führen Sie die folgenden AWS CLI-Befehle aus, um die Vertrauensbeziehungsrichtlinie zu erstellen und die AmazonAppStream PCAAccess verwaltete Richtlinie anzuhängen. Für weitere Informationen über die verwaltete Richtlinie siehe [AWS Für den Zugriff auf WorkSpaces Anwendungsressourcen sind verwaltete Richtlinien erforderlich](managed-policies-required-to-access-appstream-resources.md).
```
aws iam create-role --path /service-role/ --role-name AmazonAppStreamPCAAccess --assume-role-policy-document file://AmazonAppStreamPCAAccess.json
```
```
aws iam attach-role-policy —role-name AmazonAppStreamPCAAccess —policy-arn arn:aws:iam::aws:policy/AmazonAppStreamPCAAccess
```
# Verwenden von IAM-Richtlinien zur Verwaltung des Administratorzugriffs auf Application Auto Scaling
Die automatische Skalierung für Flotten wird durch eine Kombination aus WorkSpaces Applications CloudWatch, Amazon und Application Auto Scaling APIs ermöglicht. WorkSpaces Anwendungsflotten werden mit WorkSpaces Anwendungen, Alarme mit CloudWatch und Skalierungsrichtlinien mit Application Auto Scaling erstellt.
Der IAM-Benutzer, der auf die Einstellungen für die Flottenskalierung zugreift, muss nicht nur über die in der [AmazonAppStreamFullAccess](managed-policies-required-to-access-appstream-resources.md)Richtlinie definierten Berechtigungen verfügen, sondern auch über die erforderlichen Berechtigungen für die Dienste verfügen, die dynamische Skalierung unterstützen. IAM-Benutzer müssen die Berechtigung haben, die Aktionen in der folgenden Beispielrichtlinie zu verwenden.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"appstream:*",
"application-autoscaling:*",
"cloudwatch:DeleteAlarms",
"cloudwatch:DescribeAlarmsForMetric",
"cloudwatch:DisableAlarmActions",
"cloudwatch:DescribeAlarms",
"cloudwatch:EnableAlarmActions",
"cloudwatch:ListMetrics",
"cloudwatch:PutMetricAlarm",
"iam:ListRoles"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "application-autoscaling.amazonaws.com"
}
}
}
]
}
```
------
Sie können auch eigene IAM-Richtlinien erstellen, um spezifischere Berechtigungen für Aufrufe an die Application-Auto-Scaling-API festzulegen. Weitere Informationen finden Sie unter [Authentication and Access Control](https://docs.aws.amazon.com/autoscaling/application/userguide/auth-and-access-control.html) im *Application Auto Scaling-Benutzerhandbuch*.
# Verwenden von IAM-Richtlinien zum Verwalten des Administratorzugriffs auf den Amazon-S3-Bucket für Basisordner und die Persistenz von Anwendungseinstellungen
Die folgenden Beispiele zeigen, wie Sie mithilfe von IAM-Richtlinien den Zugriff auf den Amazon-S3-Bucket für Basisordner und die Persistenz von Anwendungseinstellungen verwalten können.
**Topics**
+ [Löschen des Amazon-S3-Buckets für Basisordner und der Persistenz von Anwendungseinstellungen](s3-iam-policy-delete.md)
+ [Einschränken des Administratorzugriffs auf den Amazon-S3-Bucket für Basisordner und die Persistenz von Anwendungseinstellungen](s3-iam-policy-restricted-access.md)
# Löschen des Amazon-S3-Buckets für Basisordner und der Persistenz von Anwendungseinstellungen
WorkSpaces Applications fügt den erstellten Buckets eine Amazon S3 S3-Bucket-Richtlinie hinzu, um zu verhindern, dass sie versehentlich gelöscht werden. Um einen S3-Bucket löschen zu können, müssen Sie zuerst die S3-Bucket-Richtlinie löschen. Im Folgenden werden die Bucket-Richtlinien aufgeführt, die Sie für Basisordner und die Persistenz von Anwendungseinstellungen löschen müssen.
**Richtlinie für Basisordner**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "PreventAccidentalDeletionOfBucket",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:DeleteBucket",
"Resource": "arn:aws:s3:::appstream2-36fb080bb8-region-code-123456789012-without-hyphens"
}
]
}
```
------
**Richtlinie für die Persistenz von Anwendungseinstellungen**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "PreventAccidentalDeletionOfBucket",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:DeleteBucket",
"Resource": "arn:aws:s3:::appstream-app-settings-region-code-123456789012-without-hyphens-unique-identifier"
}
]
}
```
------
Weitere Informationen erhalten Sie unter [Löschen oder Leeren von Buckets](https://docs.aws.amazon.com/AmazonS3/latest/userguide/delete-or-empty-bucket.html) im *Amazon-Simple-Storage-Service-Benutzerhandbuch*.
# Einschränken des Administratorzugriffs auf den Amazon-S3-Bucket für Basisordner und die Persistenz von Anwendungseinstellungen
Standardmäßig können Administratoren, die auf die von WorkSpaces Applications erstellten Amazon S3 S3-Buckets zugreifen können, Inhalte anzeigen und ändern, die Teil der Home-Ordner und persistenten Anwendungseinstellungen der Benutzer sind. Um den Administratorzugriff auf S3-Buckets mit Benutzerdateien einzuschränken, empfehlen wir, die S3-Bucket-Zugriffsrichtlinie basierend auf der folgenden Vorlage anzuwenden:
```
{
"Sid": "RestrictedAccess",
"Effect": "Deny",
"NotPrincipal":
{
"AWS": [
"arn:aws:iam::account:role/service-role/AmazonAppStreamServiceAccess",
"arn:aws:sts::account:assumed-role/AmazonAppStreamServiceAccess/PhotonSession",
"arn:aws:iam::account:user/IAM-user-name"
]
},
"Action": "s3:*",
"Resource": "arn:aws:s3:::home-folder-or-application-settings-persistence-s3-bucket-region-account"
}
]
}
```
Diese Richtlinie gewährt nur den angegebenen Benutzern und dem WorkSpaces Applications-Service Zugriff auf den S3-Bucket. Für jeden IAM-Benutzer, der Zugriff haben soll, replizieren Sie die folgende Zeile:
```
"arn:aws:iam::account:user/IAM-user-name"
```
Im folgenden Beispiel schränkt die Richtlinie den Zugriff auf den S3-Bucket des Basisordners für jeden anderen als die IAM-Benutzer marymajor und johnstiles ein. Sie ermöglicht auch den Zugriff auf den WorkSpaces Anwendungsdienst in der AWS Region USA West (Oregon) für die Konto-ID 123456789012.
```
{
"Sid": "RestrictedAccess",
"Effect": "Deny",
"NotPrincipal":
{
"AWS": [
"arn:aws:iam::123456789012:role/service-role/AmazonAppStreamServiceAccess",
"arn:aws:sts::123456789012:assumed-role/AmazonAppStreamServiceAccess/PhotonSession",
"arn:aws:iam::123456789012:user/marymajor",
"arn:aws:iam::123456789012:user/johnstiles"
]
},
"Action": "s3:*",
"Resource": "arn:aws:s3:::appstream2-36fb080bb8-us-west-2-123456789012"
}
]
}
```
# Verwenden einer IAM-Rolle zum Erteilen von Berechtigungen für Anwendungen und Skripts, die auf Anwendungs-Streaming-Instances ausgeführt werden WorkSpaces
Anwendungen und Skripts, die auf WorkSpaces Anwendungs-Streaming-Instances ausgeführt werden, müssen AWS Anmeldeinformationen in ihren AWS API-Anfragen enthalten. Sie können eine IAM-Rolle zum Verwalten dieser Anmeldeinformationen erstellen. Eine IAM-Rolle gibt eine Reihe von Berechtigungen an, die Sie für den Zugriff auf AWS Ressourcen verwenden können. Diese Rolle ist jedoch nicht eindeutig einer Person zugeordnet. Stattdessen kann sie von jedem Benutzer angenommen werden, die sie benötigt.
Sie können eine IAM-Rolle auf eine WorkSpaces Anwendungs-Streaming-Instance anwenden. Wenn die Streaming-Instance zur Rolle wechselt (die Rolle annimmt), stellt die Rolle temporäre Sicherheitsanmeldeinformationen bereit. Ihre Anwendung oder Skripts verwenden diese Anmeldeinformationen, um API-Aktionen und Verwaltungsaufgaben auf der Streaming-Instance auszuführen. WorkSpaces Applications verwaltet den temporären Anmeldeinformationswechsel für Sie.
**Topics**
+ [Bewährte Methoden für die Verwendung von IAM-Rollen mit WorkSpaces Anwendungs-Streaming-Instances](best-practices-for-using-iam-role-with-streaming-instances.md)
+ [Konfiguration einer vorhandenen IAM-Rolle für die Verwendung mit WorkSpaces Anwendungs-Streaming-Instances](configuring-existing-iam-role-to-use-with-streaming-instances.md)
+ [So erstellen Sie eine IAM-Rolle zur Verwendung mit WorkSpaces Anwendungs-Streaming-Instances](how-to-create-iam-role-to-use-with-streaming-instances.md)
+ [So verwenden Sie die IAM-Rolle mit WorkSpaces Anwendungs-Streaming-Instances](how-to-use-iam-role-with-streaming-instances.md)
# Bewährte Methoden für die Verwendung von IAM-Rollen mit WorkSpaces Anwendungs-Streaming-Instances
Wenn Sie IAM-Rollen mit WorkSpaces Anwendungs-Streaming-Instances verwenden, empfehlen wir Ihnen, die folgenden Methoden zu befolgen:
+ Beschränken Sie die Berechtigungen, die Sie AWS API-Aktionen und -Ressourcen gewähren.
Halten Sie sich beim Erstellen und Anhängen von IAM-Richtlinien an die IAM-Rollen, die mit WorkSpaces Anwendungs-Streaming-Instances verknüpft sind, den Grundsätzen der geringsten Rechte. Wenn Sie eine Anwendung oder ein Skript verwenden, das Zugriff auf AWS API-Aktionen oder -Ressourcen benötigt, legen Sie fest, welche spezifischen Aktionen und Ressourcen erforderlich sind. Erstellen Sie dann Richtlinien, die der Anwendung oder dem Skript gestatten, ausschließlich diese Aktionen auszuführen. Weitere Informationen finden Sie unter [Gewähren von geringsten Rechten](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) im *IAM-Benutzerhandbuch*.
+ Erstellen Sie eine IAM-Rolle für jede WorkSpaces Anwendungsressource.
Das Erstellen einer eindeutigen IAM-Rolle für jede WorkSpaces Anwendungsressource entspricht den Prinzipien der geringsten Rechte. Auf diese Weise können Sie auch Berechtigungen für eine Ressource ändern, ohne dass dies Auswirkungen auf andere Ressourcen hat.
+ Schränken Sie ein, wo die Anmeldeinformationen verwendet werden können.
Mit IAM-Richtlinien können Sie die Bedingungen definieren, unter denen Ihre IAM-Rolle für den Zugriff auf eine Ressource verwendet werden kann. Sie können beispielsweise Bedingungen einfügen, um einen Bereich von IP-Adressen anzugeben, aus dem Anfragen stammen können. Auf diese Weise wird verhindert, dass die Anmeldeinformationen außerhalb Ihrer Umgebung verwendet werden. Weitere Informationen finden Sie unter [Verwenden von Richtlinienbedingungen für zusätzliche Sicherheit](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#use-policy-conditions) im *IAM-Benutzerhandbuch*.
# Konfiguration einer vorhandenen IAM-Rolle für die Verwendung mit WorkSpaces Anwendungs-Streaming-Instances
In diesem Thema wird beschrieben, wie Sie eine vorhandene IAM-Rolle so konfigurieren, dass Sie sie mit Image Buildern und Flotten-Streaming-Instances verwenden können.
**Voraussetzungen**
Die IAM-Rolle, die Sie mit einer WorkSpaces Applications Image Builder- oder Fleet-Streaming-Instance verwenden möchten, muss die folgenden Voraussetzungen erfüllen:
+ Die IAM-Rolle muss sich in demselben Amazon Web Services Services-Konto befinden wie die WorkSpaces Applications-Streaming-Instance.
+ Die IAM-Rolle darf keine Servicerolle sein.
+ Die Vertrauensstellungsrichtlinie, die der IAM-Rolle zugeordnet ist, muss den WorkSpaces Applications-Service als Principal beinhalten. Ein *Principal* ist eine Entität AWS , die Aktionen ausführen und auf Ressourcen zugreifen kann. Die Richtlinie muss auch die Aktion `sts:AssumeRole` enthalten. Diese Richtlinienkonfiguration definiert WorkSpaces Anwendungen als vertrauenswürdige Entität.
+ Wenn Sie die IAM-Rolle auf einen Image Builder anwenden, muss der Image Builder eine Version des WorkSpaces Applications Agent ausführen, die am oder nach dem 3. September 2019 veröffentlicht wurde. Wenn Sie die IAM-Rolle auf eine Flotte anwenden, muss die Flotte ein Image verwenden, das eine Version des Agenten verwendet, die am oder nach demselben Datum veröffentlicht wurde. Weitere Informationen finden Sie unter [WorkSpaces Versionshinweise zum Applications Agent](agent-software-versions.md).
**Damit der WorkSpaces Applications Service Principal eine bestehende IAM-Rolle übernehmen kann**
Um die folgenden Schritte auszuführen, müssen Sie sich im Konto als IAM-Benutzer anmelden, der über die erforderlichen Berechtigungen zum Auflisten und Aktualisieren von IAM-Rollen verfügt. Wenn Sie nicht über die erforderlichen Berechtigungen verfügen, bitten Sie Ihren AWS-Kontoadministrator, diese Schritte in Ihrem Konto auszuführen oder Ihnen die erforderlichen Berechtigungen zu erteilen.
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Wählen Sie im Navigationsbereich **Rollen**.
1. Wählen Sie in der Rollenliste in Ihrem Konto den Namen der zu ändernden Rolle.
1. Klicken Sie auf der Registerkarte **Trust Relationships (Vertrauensbeziehungen)** auf **Edit Trust Relationship (Vertrauensbeziehungen bearbeiten)**.
1. Überprüfen Sie unter **Policy Document (Richtliniendokument)**, ob die Vertrauensstellungsrichtlinie die Aktion `sts:AssumeRole` für den `appstream.amazonaws.com`-Service-Prinzipal enthält:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"appstream.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Wenn Sie Ihre Vertrauensrichtlinie fertiggestellt haben, klicken Sie auf **Update Trust Policy (Vertrauensrichtlinie aktualisieren)**, um Ihre Änderungen zu speichern.
1. Die von Ihnen ausgewählte IAM-Rolle wird in der WorkSpaces Anwendungskonsole angezeigt. Diese Rolle erteilt Anwendungen und Skripts Berechtigungen zum Ausführen von API-Aktionen und Verwaltungsaufgaben auf Streaming-Instances.
# So erstellen Sie eine IAM-Rolle zur Verwendung mit WorkSpaces Anwendungs-Streaming-Instances
In diesem Thema wird beschrieben, wie Sie eine neue IAM-Rolle erstellen, sodass Sie sie mit Image Buildern und Flotten-Streaming-Instances verwenden können.
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Wählen Sie im Navigationsbereich **Rollen** und dann **Rolle erstellen**.
1. Wählen Sie unter **Select type of trusted entity (Typ der vertrauenswürdigen Entität wählen)** die Option **AWS Service** aus.
1. Wählen Sie in der Liste der AWS Dienste die Option **WorkSpaces Anwendungen** aus.
1. Unter **Wählen Sie Ihren Anwendungsfall** ist **WorkSpaces Anwendungen — Ermöglicht WorkSpaces Anwendungsinstanzen, AWS Dienste in Ihrem Namen aufzurufen**, bereits ausgewählt. Wählen Sie **Weiter: Berechtigungen** aus.
1. Wenn möglich, wählen Sie die Richtlinie aus, die für die Berechtigungsrichtlinie verwendet werden soll, oder wählen **Create policy (Richtlinie erstellen)**, um eine neue Registerkarte im Browser zu öffnen und eine vollständig neue Richtlinie zu erstellen. Weitere Informationen finden Sie in Schritt 4 der Anleitung [Erstellen von IAM-Richtlinien (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start) im *IAM-Benutzerhandbuch*.
Nachdem Sie die Richtlinie erstellt haben, schließen Sie die Registerkarte und kehren zur ursprünglichen Registerkarte zurück. Aktivieren Sie das Kontrollkästchen neben den Berechtigungsrichtlinien, über die WorkSpaces Anwendungen verfügen sollen.
1. (Optional) Legen Sie eine Berechtigungsgrenze fest. Dies ist eine erweiterte Funktion, die für Servicerollen verfügbar ist, aber nicht für servicegebundene Rollen. Weitere Informationen finden Sie unter [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) im *IAM-Benutzerhandbuch*.
1. Wählen Sie **Weiter: Markierungen**. Sie können Tags optional als Schlüssel-Wert-Paare anhängen. Weitere Informationen zum Thema [Taggen von IAM-Benutzern und Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) finden Sie im *IAM-Benutzerhandbuch*.
1. Wählen Sie **Weiter: Prüfen** aus.
1. Geben Sie unter **Rollenname** einen Rollennamen ein, der in Ihrem AWS-Konto eindeutig ist. Da andere AWS Ressourcen möglicherweise auf die Rolle verweisen, können Sie den Namen der Rolle nicht bearbeiten, nachdem sie erstellt wurde.
1. Behalten Sie für **Role description (Rollenbeschreibung)** die Standardrollenbeschreibung bei oder geben Sie eine neue Beschreibung ein.
1. Prüfen Sie die Rolle und klicken Sie dann auf **Create Role (Rolle erstellen)**.
# So verwenden Sie die IAM-Rolle mit WorkSpaces Anwendungs-Streaming-Instances
Nachdem Sie eine IAM-Rolle erstellt haben, können Sie sie auf einen Image Builder oder eine Flotten-Streaming-Instance anwenden, wenn Sie den Image Builder starten oder eine Flotte erstellen. Sie können auch eine IAM-Rolle auf vorhandene Flotten anwenden. Weitere Informationen zum Anwenden einer IAM-Rolle beim Starten eines Image Builders finden Sie unter [Starten eines Image Builder zum Installieren und Konfigurieren von Streaming-Anwendungen](tutorial-image-builder-create.md). Weitere Informationen zum Anwenden einer IAM-Rolle beim Erstellen einer Flotte finden Sie unter [Eine Flotte in Amazon WorkSpaces Applications erstellen](set-up-stacks-fleets-create.md).
Wenn Sie Ihrer Image Builder- oder Fleet-Streaming-Instance eine IAM-Rolle zuweisen, ruft WorkSpaces Applications temporäre Anmeldeinformationen ab und erstellt das **appstream\$1machine\$1role-Anmeldeinformationsprofil** auf der Instance. Die temporären Anmeldeinformationen sind 1 Stunde lang gültig und es werden stündlich neue Anmeldeinformationen abgerufen. Die vorherigen Anmeldeinformationen laufen nicht ab, sodass Sie sie so lange verwenden können, wie sie gültig sind. Sie können das Anmeldeinformationsprofil verwenden, um AWS Dienste programmgesteuert aufzurufen, indem Sie die AWS Befehlszeilenschnittstelle (AWS CLI), AWS Tools for PowerShell oder das AWS SDK in der Sprache Ihrer Wahl verwenden.
Wenn Sie die API-Aufrufe ausführen, geben Sie **appstream\$1machine\$1role** als Anmeldeinformationsprofil an. Andernfalls schlägt die Operation aufgrund unzureichender Berechtigungen fehl.
WorkSpaces Applications übernimmt die angegebene Rolle, während die Streaming-Instanz bereitgestellt wird. Da WorkSpaces Applications die elastic network interface, die mit Ihrer VPC verbunden ist, für AWS API-Aufrufe verwendet, muss Ihre Anwendung oder Ihr Skript warten, bis die elastic network interface verfügbar ist, bevor AWS API-Aufrufe ausgeführt werden. Wenn API-Aufrufe ausgeführt werden, bevor die Elastic-Network-Schnittstelle verfügbar ist, schlagen die Aufrufe fehl.
Die folgenden Beispiele zeigen, wie Sie mithilfe des Anmeldeinformationsprofils **appstream\$1machine\$1role** Streaming-Instances (EC2-Instances) beschreiben und den Boto-Client erstellen können. Boto ist das Amazon Web Services (AWS) SDK für Python.
**Beschreiben Sie Streaming-Instances (EC2-Instances) mithilfe der CLI AWS **
```
aws ec2 describe-instances --region us-east-1 --profile appstream_machine_role
```
**Beschreiben Sie Streaming-Instances (EC2-Instances) mithilfe AWS von Tools für PowerShell**
Sie müssen AWS Tools für PowerShell Version 3.3.563.1 oder höher mit dem Amazon Web Services SDK for .NET Version 3.3.103.22 oder höher verwenden. Sie können das Installationsprogramm für AWS Tools für Windows, das AWS Tools for PowerShell und das Amazon Web Services SDK for .NET enthält, von der PowerShell Website [AWS Tools for](https://aws.amazon.com/powershell/) herunterladen.
```
Get-EC2Instance -Region us-east-1 -ProfileName appstream_machine_role
```
**Den Boto-Client mithilfe des AWS SDK für Python erstellen**
```
session = boto3.Session(profile_name='appstream_machine_role')
```
# SELinux auf Red Hat Enterprise Linux und Rocky Linux
Standardmäßig ist `enabled` Security Enhanced Linux (SELinux) auf den `enforcing` Modus für WorkSpaces Applications Image Builder und Streaming-Instances eingestellt, die von Red Hat Enterprise Linux und Rocky Linux betrieben werden. Im `enforcing` Modus werden Zugriffsverweigerungen erzwungen. SELinux ist eine Sammlung von Kernelfunktionen und Hilfsprogrammen zur Bereitstellung einer starken, flexiblen MAC-Architektur (Mandatory Access Control) für die wichtigsten Subsysteme des Kernels.
SELinux bietet einen verbesserten Mechanismus zur Durchsetzung der Trennung von Informationen auf der Grundlage von Vertraulichkeits- und Integritätsanforderungen. Diese Trennung von Informationen reduziert die Gefahr, dass die Sicherheitsmechanismen von Anwendungen manipuliert und umgangen werden. Sie begrenzt auch Schäden, die durch bösartige oder fehlerhafte Anwendungen verursacht werden können.
SELinux enthält eine Reihe von Beispielkonfigurationsdateien für Sicherheitsrichtlinien, die darauf ausgelegt sind, alltägliche Sicherheitsziele zu erreichen. Weitere Informationen zu SELinux Features und Funktionen finden Sie unter [Was ist SELinux](https://www.redhat.com/en/topics/linux/what-is-selinux)?
# Cookie-basierte Authentifizierung in Amazon-Anwendungen WorkSpaces
WorkSpaces Anwendungen verwenden Browser-Cookies, um Streaming-Sitzungen zu authentifizieren und es Benutzern zu ermöglichen, erneut eine Verbindung zu einer aktiven Sitzung herzustellen, ohne jedes Mal ihre Anmeldeinformationen erneut eingeben zu müssen. Authentifizierungstoken werden für jedes Authentifizierungsszenario in Browser-Cookies gespeichert. Cookies sind zwar für viele Onlinedienste notwendig, können aber potenziell anfällig für Cookie-Diebstahlangriffe sein. Wir empfehlen Ihnen dringend, proaktive Maßnahmen zu ergreifen, um Cookie-Diebstahl zu verhindern, z. B. die Implementierung robuster Endgeräteschutzlösungen für die Geräte Ihrer Benutzer. Um die möglichen Auswirkungen eines Cookie-Diebstahls zu minimieren, empfehlen wir Ihnen außerdem, die folgenden Maßnahmen in Betracht zu ziehen:
+ **Erzwingen Sie ein `HKEY_USERS\S-1-5-18\Software\GSettings\com\nicesoftware\dcv\session-management` Limit für einzelne Sitzungen**: Erstellen Sie für Ihre Windows-Images von WorkSpaces Anwendungen einen Registrierungsschlüssel unter, dessen Name auf 1 **max-concurrent-clients**gesetzt ist, um jeweils nur eine Verbindung zuzulassen. Dadurch wird die Anzahl gleichzeitiger Sitzungen auf eine beschränkt und die Spiegelung aktiver Sitzungen blockiert. Weitere Informationen finden Sie unter Parameter für die [Sitzungsverwaltung](https://docs.aws.amazon.com/dcv/latest/adminguide/config-param-ref.html#session_management).
+ **Erzwingen Sie den Ablauf und die erneute Authentifizierung der Sitzung**
+ Reduzieren Sie den SessionDuration Wert, sodass das Authentifizierungstoken abläuft, nachdem der Benutzer die Streaming-Sitzung erfolgreich gestartet hat. Die Wiederverwendung von Authentifizierungscookies nach Ablauf der Sitzungsdauer erfordert, dass sich Benutzer erneut authentifizieren. SessionDuration gibt an, wie lange eine Verbund-Streaming-Sitzung für einen Benutzer maximal aktiv bleiben kann, bevor eine erneute Authentifizierung erforderlich ist. Der Standardwert beträgt 60 Minuten. Weitere Informationen finden Sie unter [Schritt 5: Erstellen von Zusicherungen für die SAML-Authentifizierungsantwort](external-identity-providers-setting-up-saml.md#external-identity-providers-create-assertions).
+ Um die Sicherheit zu maximieren, sollten Benutzer Sitzungen ordnungsgemäß mit der Werkzeugleiste beenden (Sitzung beenden), anstatt das Streaming-Fenster zu schließen. Wenn Sie die Sitzung über die Werkzeugleiste beenden, werden sowohl die Benutzersitzung als auch die Streaming-Instanz beendet. Dies erfordert eine erneute Authentifizierung für future Zugriffe, um den Missbrauch von Cookies zu verhindern. Wenn ein Benutzer das Streaming-Fenster schließt, ohne die Sitzung zu beenden, bleiben die Sitzung und die Instanz für einen konfigurierbaren Zeitraum (in Minuten) aktiv. Das Verbindungs-Timeout muss eine Zahl zwischen 1 und 5760 sein, mit einem Standardwert von 15 Minuten. Um den Missbrauch inaktiver Sitzungen zu verhindern, empfehlen wir, ein kurzes Timeout für die Unterbrechung der Verbindung festzulegen. Weitere Informationen finden Sie unter [Eine Flotte in Amazon WorkSpaces Applications erstellen](set-up-stacks-fleets-create.md).
+ **Beschränken Sie den Zugriff auf WorkSpaces Streaming-Anwendungen auf Ihre IP-Bereiche**: Wir empfehlen Ihnen, IP-basierte IAM-Richtlinien zu implementieren. Dadurch wird sichergestellt, dass auf WorkSpaces Anwendungssitzungen nur von Clients aus zugegriffen werden kann, deren IP-Adresse zu einem autorisierten IP-Bereich gehört. Alle Verbindungsversuche, die von einem Benutzer initiiert werden, dessen Client-IP-Adresse außerhalb eines autorisierten Bereichs liegt, werden verweigert, auch wenn sie ein ansonsten gültiges Authentifizierungs-Cookie vorlegen (das möglicherweise von einem Benutzer gestohlen wurde). Weitere Informationen finden Sie unter [Beschränken Sie den Zugriff auf das Streamen von Amazon AppStream 2.0-Anwendungen auf Ihre IP-Bereiche](https://aws.amazon.com/blogs/desktop-and-application-streaming/limit-access-to-stream-amazon-appstream-2-0-applications-to-your-ip-ranges/).
+ **Zusätzliche Authentifizierung hinzufügen**: Um domänengebundene Streaming-Instances zu starten, können Sie Ihre WorkSpaces Always-On- und On-Demand-Windows-Flotten und Image Builder mit Domänen in Microsoft Active Directory verbinden und Ihre vorhandenen Active Directory-Domänen verwenden, entweder cloudbasiert oder lokal. Nach der ersten SAML-basierten Authentifizierung werden Ihre Benutzer aufgefordert, ihre Domänenanmeldedaten für die zusätzliche Authentifizierung gegenüber der Organisationsdomäne einzugeben. Weitere Informationen finden Sie unter [Active Directory mit WorkSpaces Anwendungen verwenden](active-directory.md).
[Wenn Sie Bedenken haben oder Hilfe benötigen, wenden Sie sich an AWS Support das Center.](https://console.aws.amazon.com/support/home#/)
# Protokollierung und Überwachung in WorkSpaces Amazon-Anwendungen
Die Überwachung ist ein wichtiger Bestandteil der Aufrechterhaltung der Zuverlässigkeit, Verfügbarkeit und Leistung von Amazon WorkSpaces Applications. In diesem Thema werden die Dienste und Tools beschrieben, AWS mit denen Sie Ihre WorkSpaces Anwendungsressourcen überwachen und auf potenzielle Vorfälle reagieren können.
** CloudWatch Amazon-Alarme**
Mit CloudWatch Amazon-Alarmen können Sie eine einzelne Metrik über einen von Ihnen angegebenen Zeitraum beobachten. Wenn die Metrik einen bestimmten Schwellenwert überschreitet, wird eine Benachrichtigung an ein Thema oder eine AWS Auto Scaling Richtlinie von Amazon Simple Notification Service gesendet. CloudWatch Alarme lösen keine Aktionen aus, die sich in einem bestimmten Status befinden. Der Status muss sich stattdessen geändert haben und für eine festgelegte Anzahl an Zeiträumen aufrechterhalten worden sein. Weitere Informationen finden Sie unter [Überwachung der Ressourcen von Amazon WorkSpaces Applications](monitoring.md).
WorkSpaces Anwendungen können derzeit nicht als Ziel für CloudWatch Ereignisse konfiguriert werden. Eine Liste der Services, die Sie als Ziele für CloudWatch Ereignisse konfigurieren können, finden Sie unter [Was ist Amazon CloudWatch Events](https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/WhatIsCloudWatchEvents.html).
**AWS CloudTrail**
AWS CloudTrail bietet eine Aufzeichnung der Aktionen, die von einem Benutzer, einer Rolle oder einem AWS Dienst in WorkSpaces Anwendungen ausgeführt wurden. Anhand dieses Datensatzes können Sie ermitteln, welche Anfrage an WorkSpaces Applications gestellt wurde, von welcher IP-Adresse aus die Anfrage gestellt wurde, wer die Anfrage gestellt hat, wann sie gestellt wurde, und weitere Details. Weitere Informationen finden Sie unter [API-Aufrufe von Amazon WorkSpaces Applications protokollieren mit AWS CloudTrail](logging-using-cloudtrail.md).
**AWS Trusted Advisor**
AWS Trusted Advisor untersucht Ihre AWS Umgebung und empfiehlt dann Möglichkeiten, Geld zu sparen, die Systemverfügbarkeit und -leistung zu verbessern oder Sicherheitslücken zu schließen. Trusted Advisor verwendet bewährte Methoden von einer Vielzahl von AWS -Kunden. Alle AWS Kunden haben Zugriff auf fünf Trusted Advisor Schecks. Wenn Sie einen Business- oder Enterprise-Supportplan haben, können Sie alle Trusted Advisor Schecks einsehen.
Wenn Sie die [Persistenz der Anwendungseinstellungen](how-it-works-app-settings-persistence.md) oder [Basisordner](home-folders-admin.md) für Ihre Benutzer aktivieren, werden die von Ihren Benutzern generierten Daten in Amazon S3 S3-Buckets gespeichert. Trusted Advisor enthält die folgenden Prüfungen im Zusammenhang mit Amazon S3:
+ Protokollierungskonfiguration von Amazon-S3-Buckets.
+ Sicherheitsprüfungen für Amazon-S3-Buckets mit offenen Zugriffsberechtigungen.
+ Fehlertoleranzprüfungen für Amazon-S3-Buckets, für die keine Versionsverwaltung aktiviert oder deren Versionsverwaltung ausgesetzt ist
Weitere Informationen finden Sie unter [AWS Trusted Advisor](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor.html) im *AWS Support -Benutzerhandbuch*.
**Amazon-S3-Zugriffsprotokolle**
Wenn Ihre Benutzer über in Amazon-S3-Buckets gespeicherte Anwendungseinstellungsdaten oder Basisordnerdaten verfügen, sollten Sie die Amazon-S3-Serverzugriffsprotokolle anzeigen, um den Zugriff zu überwachen. Diese Protokolle enthalten detaillierte Aufzeichnungen über die Anfragen, die an einen Bucket gestellt wurden. Server-Zugriffsprotokolle sind für viele Anwendungen nützlich. Beispielsweise können Zugriffsprotokoll-Informationen bei Sicherheits- und Zugriffsprüfungen nützlich sein. Weitere Informationen finden Sie unter [Amazon-S3-Server-Zugriffsprotokoll](https://docs.aws.amazon.com/AmazonS3/latest/dev/ServerLogs.html) im *Benutzerhandbuch für Amazon Simple Storage Service*.
**WorkSpaces Berichte zur Nutzung von Anwendungen**
Sie können Berichte zur WorkSpaces Anwendungsnutzung abonnieren, um detaillierte Berichte darüber zu erhalten, wie Ihre Benutzer den Dienst nutzen. Die Berichte enthalten Informationen darüber, wie lange Benutzer streamen und welche Anwendungen sie starten. Weitere Informationen finden Sie unter [WorkSpaces Berichte zur Nutzung von Anwendungen](configure-usage-reports.md).
# Konformitätsprüfung für WorkSpaces Amazon-Anwendungen
Externe Prüfer bewerten die Sicherheit und Konformität von WorkSpaces Amazon-Anwendungen im Rahmen mehrerer AWS Compliance-Programme. Dazu gehören: [SOC](https://aws.amazon.com/compliance/soc-faqs/), [PCI](https://aws.amazon.com/compliance/pci-dss-level-1-faqs), [ISO](https://aws.amazon.com/compliance/iso-certified/), [FedRAMP](https://aws.amazon.com/compliance/fedramp/), [HIPAA](https://aws.amazon.com/compliance/hipaa-compliance/), [MTCS](https://aws.amazon.com/compliance/aws-multitiered-cloud-security-standard-certification/), [ENS High](https://aws.amazon.com/compliance/esquema-nacional-de-seguridad/), [HITRUST CSF](https://aws.amazon.com/compliance/hitrust/), [VPAT](https://aws.amazon.com/compliance/vpat/) und andere.
**Anmerkung**
WorkSpaces Applications unterstützt [FIPS 140-2](https://aws.amazon.com/compliance/fips/). Informationen zur Verwendung von FIPS-Endpunkten für WorkSpaces Anwendungen zu administrativen Zwecken oder zum Streamen finden Sie unter. [Schützen von Daten bei der Übertragung mit FIPS-Endpunkten](protecting-data-in-transit-FIPS-endpoints.md)
WorkSpaces Die Anträge werden derzeit auch für den [Cloud Computing Security Requirements Guide (SRG) des Verteidigungsministeriums (DoD)](https://aws.amazon.com/compliance/dod/) geprüft.
Eine Liste der AWS Services im Rahmen bestimmter Compliance-Programme finden Sie unter [AWS Services im Umfang nach Compliance-Programmen AWS](https://aws.amazon.com/compliance/services-in-scope/) . Allgemeine Informationen finden Sie unter [AWS -Compliance-Programme](https://aws.amazon.com/compliance/programs/).
Sie können Prüfberichte von Drittanbietern unter herunterladen AWS Artifact. Weitere Informationen finden Sie unter [Berichte herunterladen unter ](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
Ihre Verantwortung für die Einhaltung von Vorschriften bei der Nutzung von WorkSpaces Anwendungen hängt von der Vertraulichkeit Ihrer Daten, den Compliance-Zielen Ihres Unternehmens und den geltenden Gesetzen und Vorschriften ab. AWS stellt die folgenden Ressourcen zur Verfügung, die Sie bei der Einhaltung von Vorschriften unterstützen:
+ [Schnellstartanleitungen für Sicherheit und Compliance](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance) – In diesen Bereitstellungsleitfäden werden architektonische Überlegungen erörtert und Schritte für die Bereitstellung von sicherheits- und konformitätsorientierten Basisumgebungen auf AWS angegeben.
+ Whitepaper „[Architecting for HIPAA Security and Compliance“ — In diesem Whitepaper](https://d0.awsstatic.com/whitepapers/compliance/AWS_HIPAA_Compliance_Whitepaper.pdf) wird beschrieben, wie Unternehmen HIPAA-konforme Anwendungen erstellen können AWS .
+ [AWS Compliance-Ressourcen ](https://aws.amazon.com/compliance/resources/) — Diese Sammlung von Arbeitsmappen und Leitfäden kann auf Ihre Branche und Ihren Standort zutreffen.
+ [Bewertung von Ressourcen anhand von Regeln](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) im *AWS Config Entwicklerhandbuch* — Der AWS Config Service bewertet, wie gut Ihre Ressourcenkonfigurationen den internen Praktiken, Branchenrichtlinien und Vorschriften entsprechen.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— Dieser AWS Service bietet einen umfassenden Überblick über Ihren Sicherheitsstatus, sodass Sie überprüfen können AWS , ob Sie die Sicherheitsstandards und Best Practices der Branche einhalten.
# Resilienz in WorkSpaces Amazon-Anwendungen
Die AWS globale Infrastruktur basiert auf AWS Regionen und Availability Zones. Regionen stellen mehrere physisch getrennte und isolierte Availability Zones bereit, die über hoch redundante Netzwerke mit niedriger Latenz und hohen Durchsätzen verbunden sind. Mithilfe von Availability Zones können Sie Anwendungen und Datenbanken erstellen und ausführen, die automatisch Failover zwischen Zonen ausführen, ohne dass es zu Unterbrechungen kommt. Availability Zones sind besser verfügbar, fehlertoleranter und skalierbarer als herkömmliche Infrastrukturen mit einem oder mehreren Rechenzentren.
Weitere Informationen zu AWS Regionen und Availability Zones finden Sie unter [AWS Globale Infrastruktur](https://aws.amazon.com/about-aws/global-infrastructure/).
# Infrastruktursicherheit in WorkSpaces Amazon-Anwendungen
Als verwalteter Service ist Amazon WorkSpaces Applications durch AWS globale Netzwerksicherheit geschützt. Informationen zu AWS Sicherheitsdiensten und zum AWS Schutz der Infrastruktur finden Sie unter [AWS Cloud-Sicherheit](https://aws.amazon.com/security/). Informationen zum Entwerfen Ihrer AWS Umgebung unter Verwendung der bewährten Methoden für die Infrastruktursicherheit finden Sie unter [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected Framework*.
Sie verwenden AWS veröffentlichte API-Aufrufe, um über das Netzwerk auf WorkSpaces Anwendungen zuzugreifen. Kunden müssen Folgendes unterstützen:
+ Transport Layer Security (TLS). Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Verschlüsselungs-Suiten mit Perfect Forward Secrecy (PFS) wie DHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Die meisten modernen Systeme wie Java 7 und höher unterstützen diese Modi.
Die folgenden Themen enthalten zusätzliche Informationen zur Sicherheit der WorkSpaces Anwendungsinfrastruktur.
**Topics**
+ [Netzwerkisolierung](network-isolation.md)
+ [Isolierung auf physischen Hosts](physical-isolation.md)
+ [Steuerung des Netzwerkverkehrs](control-network-traffic.md)
+ [WorkSpaces VPC-Endpunkte mit Anwendungsschnittstelle](interface-vpc-endpoints.md)
+ [Schützen von Daten bei der Übertragung mit FIPS-Endpunkten](protecting-data-in-transit-FIPS-endpoints.md)
# Netzwerkisolierung
Eine Virtual Private Cloud (VPC) ist ein virtuelles Netzwerk in Ihrem eigenen logisch isolierten Bereich in der Cloud von Amazon Web Services. Verwenden Sie diese Option separat VPCs , um die Infrastruktur nach Arbeitslast oder organisatorischer Einheit zu isolieren.
Ein Subnetz ist ein Bereich von IP-Adressen in einer VPC. Wenn Sie eine Instance starten, starten Sie sie in einem Subnetz in Ihrer VPC. Verwenden Sie Subnetze, um Ihre Anwendungsschichten (z. B. Web, Anwendung und Datenbank) innerhalb einer einzelnen VPC zu isolieren. Verwenden Sie für Ihre Instances private Subnetze, wenn Sie nicht direkt aus dem Internet erreichbar sein sollen.
Sie können von WorkSpaces Anwendungs-Streaming-Instances in Ihrer VPC streamen, ohne das öffentliche Internet nutzen zu müssen. Verwenden Sie dazu einen Schnittstellen-VPC-Endpunkt (Schnittstellenendpunkt). Weitere Informationen finden Sie unter [Tutorial: Erstellen und Streamen von Schnittstellen-VPC-Endpunkten](creating-streaming-from-interface-vpc-endpoints.md).
Mithilfe eines Schnittstellenendpunkts können Sie auch WorkSpaces Anwendungs-API-Operationen von Ihrer VPC aus aufrufen, ohne Datenverkehr über das öffentliche Internet zu senden. Weitere Informationen finden Sie unter [Zugriff auf WorkSpaces Anwendungen, API-Operationen und CLI-Befehle über eine Schnittstelle (VPC-Endpunkt)](access-api-cli-through-interface-vpc-endpoint.md).
# Isolierung auf physischen Hosts
Verschiedene Streaming-Instances auf demselben physischen Host werden so voneinander isoliert, als ob sie sich auf separaten physischen Hosts befänden. Der Hypervisor isoliert CPU und Speicher, und den Instances werden virtualisierte Festplatten anstelle des Zugriffs auf die Datenträger bereitgestellt.
Wenn Sie eine Streaming-Instance stoppen oder beenden, wird der ihr zugewiesene Speicher vom Hypervisor gesäubert (d. h., er wird mit Null überschrieben), bevor er einer neuen Instance zugewiesen wird. Jeder Speicherblock wird zurückgesetzt. Dadurch wird sichergestellt, dass Ihre Daten nicht einer anderen Instance zugänglich gemacht werden.
# Steuerung des Netzwerkverkehrs
Um den Netzwerkverkehr zu Ihren WorkSpaces Anwendungs-Streaming-Instances besser kontrollieren zu können, sollten Sie die folgenden Optionen in Betracht ziehen:
+ Wenn Sie eine AppStream Amazon-Streaming-Instance starten, starten Sie sie in einem Subnetz in Ihrer VPC. Sie können Streaming-Instances in einem privaten Subnetz bereitstellen, wenn sie nicht über das Internet zugänglich sein sollen.
+ Verwenden Sie ein NAT-Gateway, um Internetzugriff auf Streaming-Instances in einem privaten Subnetz zu ermöglichen. Weitere Informationen finden Sie unter [Konfigurieren einer VPC mit privaten Subnetzen und einem NAT-Gateway](managing-network-internet-NAT-gateway.md).
+ Mit Sicherheitsgruppen, die zu Ihrer VPC gehören, können Sie den Netzwerkverkehr zwischen WorkSpaces Anwendungs-Streaming-Instances und VPC-Ressourcen wie Lizenzservern, Dateiservern und Datenbankservern steuern. Sicherheitsgruppen isolieren auch den Datenverkehr zwischen Ihren Streaming-Instances und den WorkSpaces Anwendungsverwaltungsdiensten.
Verwenden Sie Sicherheitsgruppen, um den Zugriff auf Ihre Streaming-Instances zu beschränken. Beispielsweise können Sie den Datenverkehr nur aus den Adressbereichen Ihres Unternehmensnetzwerks zulassen. Weitere Informationen finden Sie unter [Sicherheitsgruppen in WorkSpaces Amazon-Anwendungen](managing-network-security-groups.md).
+ Sie können von WorkSpaces Anwendungs-Streaming-Instances in Ihrer VPC streamen, ohne das öffentliche Internet nutzen zu müssen. Verwenden Sie dazu einen Schnittstellen-VPC-Endpunkt (Schnittstellenendpunkt). Weitere Informationen finden Sie unter [Tutorial: Erstellen und Streamen von Schnittstellen-VPC-Endpunkten](creating-streaming-from-interface-vpc-endpoints.md).
Mithilfe eines Schnittstellenendpunkts können Sie auch WorkSpaces Anwendungs-API-Operationen von Ihrer VPC aus aufrufen, ohne Datenverkehr über das öffentliche Internet zu senden. Weitere Informationen finden Sie unter [Zugriff auf WorkSpaces Anwendungen, API-Operationen und CLI-Befehle über eine Schnittstelle (VPC-Endpunkt)](access-api-cli-through-interface-vpc-endpoint.md).
+ Verwenden Sie IAM-Rollen und -Richtlinien, um den Administratorzugriff auf WorkSpaces Applications, Application Auto Scaling und Amazon S3 S3-Buckets zu verwalten. Weitere Informationen finden Sie unter den folgenden Themen:
+ [Verwenden von AWS verwalteten Richtlinien und verknüpften Rollen zur Verwaltung des Administratorzugriffs auf WorkSpaces Anwendungsressourcen](controlling-administrator-access-with-policies-roles.md)
+ [Verwenden von IAM-Richtlinien zur Verwaltung des Administratorzugriffs auf Application Auto Scaling](autoscaling-iam-policy.md)
+ [Einschränken des Administratorzugriffs auf den Amazon-S3-Bucket für Basisordner und die Persistenz von Anwendungseinstellungen](s3-iam-policy-restricted-access.md)
+ Sie können SAML 2.0 verwenden, um die Authentifizierung für Anwendungen zu bündeln. WorkSpaces Weitere Informationen finden Sie unter [Kontingente WorkSpaces für Amazon Applications Service](limits.md).
**Anmerkung**
Für kleinere WorkSpaces Anwendungsbereitstellungen können Sie WorkSpaces Anwendungsbenutzerpools verwenden. Standardmäßig unterstützen -Benutzerpools maximal 50 Benutzer. Weitere Informationen zu WorkSpaces Anwendungskontingenten (auch als Grenzwerte bezeichnet) finden Sie unter[Kontingente WorkSpaces für Amazon Applications Service](limits.md). Für Bereitstellungen, die 100 oder mehr WorkSpaces Anwendungsbenutzer unterstützen müssen, empfehlen wir die Verwendung von SAML 2.0.
# WorkSpaces VPC-Endpunkte mit Anwendungsschnittstelle
Eine Virtual Private Cloud (VPC) ist ein virtuelles Netzwerk in Ihrem eigenen logisch isolierten Bereich in der Cloud von Amazon Web Services. Wenn Sie Amazon Virtual Private Cloud zum Hosten Ihrer AWS Ressourcen verwenden, können Sie eine private Verbindung zwischen Ihrer VPC und den WorkSpaces Anwendungen herstellen. Sie können diese Verbindung verwenden, damit WorkSpaces Anwendungen mit Ihren Ressourcen auf Ihrer VPC kommunizieren können, ohne das öffentliche Internet nutzen zu müssen.
Schnittstellenendpunkte werden mit einer Technologie betrieben AWSPrivateLink, mit der Sie den Datenverkehr innerhalb einer VPC streamen können, die Sie mithilfe von privaten IP-Adressen angeben. Wenn Sie die VPC mit einem Direct Connect AWS Virtual Private Network OR-Tunnel verwenden, können Sie den Streaming-Verkehr in Ihrem Netzwerk behalten.
Die folgenden Themen enthalten Informationen zu Endpunkten der WorkSpaces Anwendungsschnittstelle.
**Topics**
+ [Tutorial: Erstellen und Streamen von Schnittstellen-VPC-Endpunkten](creating-streaming-from-interface-vpc-endpoints.md)
+ [Zugriff auf WorkSpaces Anwendungen, API-Operationen und CLI-Befehle über eine Schnittstelle (VPC-Endpunkt)](access-api-cli-through-interface-vpc-endpoint.md)
# Tutorial: Erstellen und Streamen von Schnittstellen-VPC-Endpunkten
Sie können einen VPC-Schnittstellen-Endpunkt in Ihrem Amazon Web Services Services-Konto verwenden, um den gesamten Netzwerkverkehr zwischen Ihrer Amazon VPC und Ihren WorkSpaces Anwendungen zum Amazon-Netzwerk einzuschränken. Nachdem Sie diesen Endpunkt erstellt haben, konfigurieren Sie Ihren WorkSpaces Anwendungsstapel oder Image Builder so, dass er ihn verwendet.
**Voraussetzungen**
Bevor Sie VPC-Schnittstellen-Endpunkte für WorkSpaces Anwendungen einrichten, sollten Sie die folgenden Voraussetzungen beachten:
+ Eine Internetverbindung ist erforderlich, um Benutzer zu authentifizieren und die Webressourcen bereitzustellen, die WorkSpaces Applications zum Funktionieren benötigen. Der Streaming-Schnittstellenendpunkt verwaltet den Streaming-Datenverkehr innerhalb Ihrer VPC. Der Streaming-Datenverkehr umfasst Pixel, USB, Benutzereingaben, Audio, Zwischenablage, Datei-Upload und -Download sowie Druckerdatenverkehr. Sie müssen die in [Zulässige Domänen](allowed-domains.md) aufgelisteten Domains zulassen, um diesen Datenverkehr zuzulassen. Nachdem Sie den VPC-Endpunkt erstellt haben, müssen Sie die Benutzerauthentifizierungsdomänen für WorkSpaces Anwendungen zulassen. Für die Streaming-Gateways können Sie den Zugriff jedoch nur auf < vpc-endpoint-id >.streaming.appstream beschränken. .vpce.amazonaws.com. Angebote auf \$1.amazonappstream.com zulassen ist nicht erforderlich. Der vollqualifizierte Domänenname des VPC-Endpunkts ersetzt diese Abhängigkeit.
+ Das Netzwerk, mit dem die Geräte Ihrer Benutzer verbunden sind, muss in der Lage sein, den Datenverkehr an den Schnittstellenendpunkt weiterzuleiten.
+ Die Sicherheitsgruppen, die dem Schnittstellenendpunkt zugeordnet sind, müssen eingehenden Zugriff auf Port 443 (TCP) und Ports 1400 bis 1499 (TCP) aus dem IP-Adressbereich erlauben, von dem aus Ihre Benutzer eine Verbindung herstellen.
+ Die Netzwerk-Zugriffskontrollliste für die Subnetze muss ausgehenden Datenverkehr von den flüchtigen Netzwerk-Ports 1024 bis 65535 (TCP) zu dem IP-Adressbereich zulassen, von dem aus Ihre Benutzer eine Verbindung herstellen.
+ Sie müssen über eine IAM-Berechtigungsrichtlinie verfügenAWS-Konto, die Berechtigungen zur Ausführung der `ec2:DescribeVpcEndpoints` API-Aktion bereitstellt. Standardmäßig ist diese Berechtigung in der IAM-Richtlinie definiert, die der Rolle zugeordnet ist. AmazonAppStreamServiceAccess Wenn Sie über die erforderlichen Berechtigungen verfügen, wird diese Servicerolle automatisch von WorkSpaces Applications mit den erforderlichen IAM-Richtlinien erstellt, wenn Sie mit dem WorkSpaces Applications-Service in einer AWS Region beginnen. Weitere Informationen finden Sie unter [Identity and Access Management für WorkSpaces Amazon-Anwendungen](controlling-access.md).
**So erstellen Sie einen Schnittstellen-Endpunkt**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Endpoints** und klicken Sie auf **Create Endpoint**.
1. Klicken Sie auf **Endpunkt erstellen**.
1. Stellen Sie sicher, dass als **Dienstkategorie AWS** **Dienste** ausgewählt ist.
1. Wählen Sie für **Servicename** **com.amazonaws.******.appstream.streaming** aus.
1. Geben Sie folgende Informationen an: Klicken Sie abschließend auf **Create Endpoint (Endpunkt erstellen)**.
+ Wählen Sie für **VPC** eine VPC aus, in der der Schnittstellenendpunkt erstellt werden soll. Sie können eine andere VPC als die VPC mit WorkSpaces Anwendungsressourcen wählen.
+ Wählen Sie für **Subnets** Subnetze (Availability Zones) aus, in denen die Endpunktnetzwerkschnittstellen erstellt werden sollen. Wir empfehlen, Subnetze in mindestens zwei Availability Zones auszuwählen.
+ Wählen Sie als **IP-Adresstyp** entweder oder IPV6 . IPV4
+ Stellen Sie sicher, dass das Kontrollkästchen **Enable Private DNS Name (Privaten DNS-Namen aktivieren)** aktiviert ist.
**Anmerkung**
Wenn Ihre Benutzer einen Netzwerkproxy verwenden, um auf Streaming-Instances zuzugreifen, deaktivieren Sie die Proxy-Zwischenspeicherung in der Domäne und alle DNS-Namen, die dem privaten Endpunkt zugeordnet sind. Der DNS-Name des VPC-Endpunkts sollte über den Proxy zugelassen werden.
+ Wählen Sie für **Security group (Sicherheitsgruppe)** die Sicherheitsgruppen aus, die den Endpunktnetzwerkschnittstellen zugeordnet werden sollen.
**Anmerkung**
Die Sicherheitsgruppen müssen eingehenden Zugriff auf die Ports aus dem IP-Adressbereich gewähren, von dem aus Ihre Benutzer eine Verbindung herstellen.
Während Ihr Schnittstellenendpunkt erstellt wird, wird der Status des Endpunkts in der Konsole als **Pending (Ausstehend)** angezeigt. Nachdem Ihr Endpunkt erstellt wurde, ändert sich der Status in **Available (Verfügbar)**.
Führen Sie die folgenden Schritte aus, um einen Stack so zu aktualisieren, dass er den für Streaming-Sitzungen erstellten Schnittstellenendpunkt verwendet.
**So aktualisieren Sie einen Stack so, dass er einen neuen Schnittstellenendpunkt verwendet**
1. Öffnen Sie die WorkSpaces Anwendungskonsole zu [https://console.aws.amazon.com/appstream2/Hause](https://console.aws.amazon.com/appstream2/home).
Stellen Sie sicher, dass Sie die Konsole in derselben AWS Region öffnen wie der Schnittstellenendpunkt, den Sie verwenden möchten.
1. Wählen Sie im Navigationsbereich **Stacks** und dann den gewünschten Stack aus.
1. Wählen Sie die Registerkarte **VPC-Endpunkte** und anschließend **Bearbeiten** aus.
1. Wählen Sie im Dialogfeld **VPC-Endpunkt bearbeiten** unter **Streaming-Endpunkt** den Endpunkt aus, über den Sie den Datenverkehr streamen möchten.
1. Wählen Sie **Aktualisieren** aus.
Der Datenverkehr für neue Streaming-Sitzungen wird über diesen Endpunkt geleitet. Der Datenverkehr für aktuelle Streaming-Sitzungen wird jedoch weiterhin über den zuvor angegebenen Endpunkt geleitet.
**Anmerkung**
Benutzer können nicht mit dem Internetendpunkt streamen, wenn ein Schnittstellendpunkt angegeben wird.
# Zugriff auf WorkSpaces Anwendungen, API-Operationen und CLI-Befehle über eine Schnittstelle (VPC-Endpunkt)
Wenn Sie Amazon Virtual Private Cloud zum Hosten Ihrer AWS Ressourcen verwenden, können Sie über einen [VPC-Schnittstellen-Endpunkt (Schnittstellenendpunkt) in Ihrer Virtual Private Cloud (VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html)) direkt eine Verbindung zu API-Vorgängen oder Befehlszeilenbefehlen (CLI) herstellen, anstatt eine Verbindung über das Internet herzustellen. WorkSpaces Schnittstellenendpunkte werden mit einer Technologie betrieben AWSPrivateLink, mit der Sie den Datenverkehr innerhalb einer VPC streamen können, die Sie mithilfe von privaten IP-Adressen angeben. Wenn Sie einen Schnittstellenendpunkt verwenden, erfolgt die Kommunikation zwischen Ihrer VPC und den WorkSpaces Anwendungen vollständig und sicher innerhalb des AWS Netzwerks.
**Anmerkung**
In diesem Thema wird beschrieben, wie Sie über einen Schnittstellenendpunkt auf die API-Operationen und CLI-Befehle für WorkSpaces Anwendungen zugreifen. Informationen zum Erstellen und Streamen von Endpunkten für die WorkSpaces Anwendungsschnittstelle finden Sie unter[Tutorial: Erstellen und Streamen von Schnittstellen-VPC-Endpunkten](creating-streaming-from-interface-vpc-endpoints.md).
**Voraussetzungen**
Um Schnittstellenendpunkte verwenden zu können, müssen Sie die folgenden Voraussetzungen erfüllen:
+ Die Sicherheitsgruppen, die dem Schnittstellenendpunkt zugeordnet sind, müssen eingehenden Zugriff auf Port 443 (TCP) aus dem IP-Adressbereich erlauben, von dem aus Ihre Benutzer eine Verbindung herstellen.
+ Die Netzwerk-Zugriffskontrollliste für die Subnetze muss ausgehenden Datenverkehr von den flüchtigen Netzwerk-Ports 1024 bis 65535 (TCP) zu dem IP-Adressbereich zulassen, von dem aus Ihre Benutzer eine Verbindung herstellen.
**Topics**
+ [Erstellen Sie einen Schnittstellenendpunkt für den Zugriff auf WorkSpaces Anwendungen, API-Operationen und CLI-Befehle](access-api-cli-through-interface-vpc-endpoint-create-interface-endpoint.md)
+ [Verwenden Sie einen Schnittstellenendpunkt für den Zugriff auf WorkSpaces Anwendungen, API-Operationen und CLI-Befehle](how-to-access-api-cli-through-interface-vpc-endpoint.md)
# Erstellen Sie einen Schnittstellenendpunkt für den Zugriff auf WorkSpaces Anwendungen, API-Operationen und CLI-Befehle
Führen Sie die folgenden Schritte aus, um einen Schnittstellenendpunkt zu erstellen.
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Endpoints** und klicken Sie auf **Create Endpoint**.
1. Klicken Sie auf **Endpunkt erstellen**.
1. Stellen Sie sicher, dass als **Servicekategorie AWS** **Dienste** ausgewählt sind.
1. Wählen Sie für **Servicename** **com.amazonaws.******.appstream.api** aus.
1. Geben Sie folgende Informationen an: Klicken Sie abschließend auf **Create Endpoint (Endpunkt erstellen)**.
+ Wählen Sie für **VPC** eine VPC, in der der Schnittstellenendpunkt erstellt werden soll.
+ Für **Subnets** wählen Sie die Subnetze (Availability Zones) aus, in denen die Endpunktnetzwerkschnittstellen erstellt werden sollen. Wir empfehlen, Subnetze in mindestens zwei Availability Zones auszuwählen.
+ Optional können Sie das Kontrollkästchen **Enable Private DNS Name (Privaten DNS-Namen aktivieren)** markieren.
**Anmerkung**
Wenn Sie diese Option auswählen, dann stellen Sie sicher, dass Sie VPC und DNS nach Bedarf konfigurieren, um das private DNS zu unterstützen. Weitere Informationen finden Sie unter [Privates DNS](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-private-dns) im *Amazon-VPC-Benutzerhandbuch*.
+ Für **Sicherheitsgruppe** wählen Sie die Sicherheitsgruppen aus, die den Endpunktnetzwerkschnittstellen zugeordnet werden sollen.
**Anmerkung**
Die Sicherheitsgruppen müssen eingehenden Zugriff auf die Ports aus dem IP-Adressbereich gewähren, von dem aus Ihre Benutzer eine Verbindung herstellen.
Während Ihr Schnittstellenendpunkt erstellt wird, wird der Status des Endpunkts in der Konsole als **Pending (Ausstehend)** angezeigt. Nachdem Ihr Endpunkt erstellt wurde, ändert sich der Status in **Available (Verfügbar)**.
# Verwenden Sie einen Schnittstellenendpunkt für den Zugriff auf WorkSpaces Anwendungen, API-Operationen und CLI-Befehle
Nachdem sich der Status des Schnittstellen-VPC-Endpunkts, den Sie erstellen, in **Verfügbar** geändert hat, können Sie den Endpunkt verwenden, um auf API-Operationen und CLI-Befehle für WorkSpaces Anwendungen zuzugreifen. Geben Sie dazu den Parameter `endpoint-url` mit dem DNS-Namen des Schnittstellenendpunkts an, wenn Sie diese Operationen und Befehle verwenden. Der DNS-Name ist öffentlich auflösbar, leitet jedoch nur den Datenverkehr in Ihrer VPC erfolgreich weiter.
Das folgende Beispiel zeigt, wie Sie den DNS-Namen des Schnittstellenendpunkts angeben, wenn Sie den CLI-Befehl **describe-fleets** verwenden:
```
aws appstream describe-fleets --endpoint-url .api.appstream..vpce.amazonaws.com
```
Das folgende Beispiel zeigt, wie Sie den DNS-Namen des Schnittstellenendpunkts angeben, wenn Sie den WorkSpaces Applications Boto3 Python-Client instanziieren:
```
appstream2client = boto3.client('appstream',region_name='',endpoint_url='.api.appstream..vpce.amazonaws.com'
```
Nachfolgende Befehle, die das Objekt `appstream2client` verwenden, verwenden automatisch den angegebenen Schnittstellenendpunkt.
Wenn Sie die privaten DNS-Hostnamen auf dem Schnittstellenendpunkt aktiviert haben, müssen Sie die Endpunkt-URL nicht angeben. Der DNS-Hostname der WorkSpaces Anwendungs-API, den die API und die CLI standardmäßig verwenden, wird in Ihrer VPC aufgelöst. Weitere Informationen zu privaten DNS-Hostnamen finden Sie unter [Privates DNS](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-private-dns) im *Amazon-VPC-Benutzerhandbuch*.
# Schützen von Daten bei der Übertragung mit FIPS-Endpunkten
Wenn Sie mit dem WorkSpaces Applications Service kommunizieren, sei es als Administrator über die WorkSpaces Anwendungskonsole, die AWS Befehlszeilenschnittstelle (AWS CLI) oder ein AWS SDK oder als Benutzer, der von einem Image Builder oder einer Flotteninstanz streamt, werden alle übertragenen Daten standardmäßig mit TLS 1.2 verschlüsselt.
Wenn Sie für den Zugriff AWS über eine Befehlszeilenschnittstelle oder eine API FIPS 140-2-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. WorkSpaces Applications bietet FIPS-Endpunkte in allen AWS Regionen der Vereinigte Staaten, in denen WorkSpaces Applications verfügbar ist. Wenn Sie einen FIPS-Endpunkt verwenden, werden alle Daten während der Übertragung mit kryptografischen Standards verschlüsselt, die mit dem Federal Information Processing Standard (FIPS) 140-2 übereinstimmen. Informationen zu FIPS-Endpunkten, einschließlich einer Liste von WorkSpaces Anwendungsendpunkten, finden Sie unter [Federal Information Processing Standard](https://aws.amazon.com/compliance/fips) (FIPS) 140-2.
**Topics**
+ [FIPS-Endpunkte für administrative Verwendung](FIPS-for-administrative-use.md)
+ [FIPS-Endpunkte für Benutzer-Streaming-Sitzungen](FIPS-for-user-streaming-sessions.md)
+ [Ausnahmen](FIPS-exceptions.md)
# FIPS-Endpunkte für administrative Verwendung
Verwenden Sie den Parameter, um einen FIPS-Endpunkt anzugeben, wenn Sie einen AWS CLI Befehl für Anwendungen ausführen. WorkSpaces `endpoint-url` Im folgenden Beispiel wird der FIPS-Endpunkt WorkSpaces Applications in der Region USA West (Oregon) verwendet, um eine Liste aller Stacks in der Region abzurufen:
```
aws appstream describe-stacks --endpoint-url https://appstream2-fips.us-west-2.amazonaws.com
```
Um einen FIPS-Endpunkt für WorkSpaces Anwendungs-API-Operationen anzugeben, verwenden Sie das Verfahren in Ihrem AWS SDK zur Angabe eines benutzerdefinierten Endpunkts.
# FIPS-Endpunkte für Benutzer-Streaming-Sitzungen
Wenn Sie SAML 2.0 oder eine Streaming-URL zum Authentifizieren von Benutzern verwenden, können Sie FIPS-konforme Verbindungen für die Streaming-Sitzungen Ihrer Benutzer konfigurieren.
Um eine FIPS-konforme Verbindung für Benutzer zu verwenden, die sich mit SAML 2.0 authentifizieren, geben Sie bei der Konfiguration des Relay-Status Ihres WorkSpaces Verbunds einen FIPS-Endpunkt für Anwendungen an. Weitere Hinweise zum Erstellen einer Relaystatus-URL für Identitätsverbund mit SAML 2.0 finden Sie unter [Einrichten von SAML](external-identity-providers-setting-up-saml.md).
Um eine FIPS-konforme Verbindung für Benutzer zu konfigurieren, die sich über eine Streaming-URL authentifizieren, geben Sie einen FIPS-Endpunkt für WorkSpaces Anwendungen an, wenn Sie den [CreateStreamingCreateImageBuilderStreamingURL- oder URL-Vorgang](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateStreamingURL.html) [über die CLI](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateImageBuilderStreamingURL.html) oder ein SDK aufrufen. AWS AWS Ein Benutzer, der über die resultierende URL eine Verbindung zu einer Streaming-Instance herstellt, wird über eine FIPS-konforme Verbindung verbunden. Im folgenden Beispiel wird der FIPS-Endpunkt WorkSpaces Applications in der Region USA Ost (Virginia) verwendet, um eine FIPS-konforme Streaming-URL zu generieren:
```
aws appstream create-streaming-url --stack-name stack-name --fleet-name fleet-name --user-id user-id --endpoint-url https://appstream2-fips.us-east-1.amazonaws.com
```
# Ausnahmen
FIPS-konforme Verbindungen werden in den folgenden Szenarien nicht unterstützt:
+ Verwaltung von WorkSpaces Anwendungen über die Anwendungskonsole WorkSpaces
+ Streaming-Sitzungen für Benutzer, die sich mithilfe der Benutzerpool-Funktion für WorkSpaces Anwendungen authentifizieren
+ Streamen mithilfe eines Schnittstellen-VPC-Endpunkts
+ Generieren von FIPS-kompatiblem Streaming URLs über die Anwendungskonsole WorkSpaces
+ Verbindungen zu Ihren Google Drive- oder OneDrive Speicherkonten, für die Ihr Speicheranbieter keinen FIPS-Endpunkt bereitstellt
# Sicherheitsgruppen in WorkSpaces Amazon-Anwendungen
Sie können zusätzliche Zugriffskontrolle für Ihre VPC über Streaming-Instances in einer Flotte oder einen Image Builder in Amazon WorkSpaces Applications bereitstellen, indem Sie sie mit VPC-Sicherheitsgruppen verknüpfen. Sicherheitsgruppen, die zu Ihrer VPC gehören, ermöglichen es Ihnen, den Netzwerkverkehr zwischen WorkSpaces Anwendungs-Streaming-Instances und VPC-Ressourcen wie Lizenzservern, Dateiservern und Datenbankservern zu kontrollieren. Weitere Informationen finden Sie unter [Sicherheitsgruppen für Ihre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) im *Amazon-VPC-Benutzerhandbuch*.
Die Regeln, die Sie für Ihre VPC-Sicherheitsgruppe definieren, werden angewendet, wenn die Sicherheitsgruppe einer Flotte oder einem Image-Builder zugeordnet ist. Die Sicherheitsgruppenregeln bestimmen, welcher Netzwerkverkehr aus Ihren Streaming-Instances zulässig ist. Weitere Informationen finden Sie unter [Sicherheitsgruppenregeln](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#SecurityGroupRules) im *Amazon-VPC-Benutzerhandbuch*.
Sie können beim Starten eines neuen Image-Builders oder Erstellen einer neuen Flotte bis zu fünf Sicherheitsgruppen zuordnen. Sie können Sicherheitsgruppen auch einer vorhandenen Flotte zuordnen oder die Sicherheitsgruppen für eine Flotte ändern (um Sicherheitsgruppen für eine Flotte zu ändern, müssen Sie zuerst die Flotte stoppen). Weitere Informationen finden Sie unter [Arbeiten mit Sicherheitsgruppen](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups) im *Amazon VPC-Benutzerhandbuch*.
Wenn Sie keine Sicherheitsgruppe auswählen, wird Ihr Image-Builder oder Ihre Flotte der Standard-Sicherheitsgruppe für Ihre VPC zugeordnet. Weitere Informationen finden Sie unter [Standardsicherheitsgruppen für Ihre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#DefaultSecurityGroup) im *Amazon-VPC-Benutzerhandbuch*.
Beachten Sie diese zusätzlichen Überlegungen, wenn Sie Sicherheitsgruppen mit WorkSpaces Anwendungen verwenden.
+ Alle Endbenutzerdaten, wie z. B. Internet-Datenverkehr, Basisordnerdaten oder Anwendungskommunikation mit VPC-Ressourcen werden von den der Streaming-Instance zugeordneten Sicherheitsgruppen beeinflusst.
+ Streaming-Pixeldaten werden von den Sicherheitsgruppen nicht beeinflusst.
+ Wenn Sie für die Flotte oder den Image-Builder den Standard-Internetzugriff aktiviert haben, müssen die Regeln der zugeordneten Sicherheitsgruppen den Internetzugriff zulassen.
Sie können Regeln für Ihre Sicherheitsgruppen erstellen oder bearbeiten oder neue Sicherheitsgruppen unter Verwendung der Amazon-VPC-Konsole erstellen.
+ **So ordnen Sie Sicherheitsgruppen einem Image-Builder zu** – Befolgen Sie die Anweisungen unter [Starten eines Image Builder zum Installieren und Konfigurieren von Streaming-Anwendungen](tutorial-image-builder-create.md).
+ **So ordnen Sie Sicherheitsgruppen einer Flotte zu**
+ *Beim Erstellen der Flotte* – Befolgen Sie die Anweisungen unter [Eine Flotte in Amazon WorkSpaces Applications erstellen](set-up-stacks-fleets-create.md).
+ *Bei einer vorhandenen Flotte* – Bearbeiten Sie mit der AWS-Managementkonsole-Konsole die Einstellungen für die Flotte.
Sie können Ihren Flotten auch Sicherheitsgruppen zuordnen, indem Sie AWS CLI und SDKs verwenden.
+ **AWS CLI** – Verwenden Sie die Befehle [create-fleet](https://docs.aws.amazon.com/cli/latest/reference/appstream/create-fleet.html) und [update-fleet](https://docs.aws.amazon.com/cli/latest/reference/appstream/update-fleet.html).
+ **AWS SDKs**— Verwenden Sie die [UpdateFleet](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_UpdateFleet.html)API-Operationen [CreateFleet](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateFleet.html)und.
Weitere Informationen finden Sie im [Benutzerhandbuch für die AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/) und unter [Tools für Amazon Web Services](https://aws.amazon.com/tools/).
# Verwaltung von Updates in WorkSpaces Amazon-Anwendungen
WorkSpaces Applications bietet eine automatisierte Möglichkeit, Ihren Image Builder mit neuerer WorkSpaces Anwendungssoftware zu aktualisieren. Wenn Ihre Images so konfiguriert sind, dass sie immer die neueste Version des WorkSpaces Applications Agents verwenden, werden Ihre Streaming-Instances automatisch mit den neuesten Funktionen, Leistungsverbesserungen und Sicherheitsupdates aktualisiert, die unter verfügbar sind AWS. Informationen zur Verwaltung von WorkSpaces Applications Agent-Versionen finden Sie unter[WorkSpaces Agent-Versionen von Anwendungen verwalten](base-images-agent.md).
Sie sind für die Installation und Pflege der Updates für das Windows-Betriebssystem, der Anwendungen und der relevanten Abhängigkeiten verantwortlich. Weitere Informationen finden Sie unter [Behalten Sie Ihr WorkSpaces Amazon-Anwendungsimage Up-to-Date](keep-image-updated.md).
Sie können Ihr WorkSpaces Anwendungs-Image behalten, up-to-date indem Sie verwaltete WorkSpaces Anwendungs-Image-Updates verwenden. Diese Aktualisierungsmethode bietet die neuesten Windows-Betriebssystemupdates und Treiberupdates sowie die neueste WorkSpaces Applications Agent-Software. Weitere Informationen finden Sie unter [Aktualisieren Sie ein Image mithilfe von Image-Updates WorkSpaces für verwaltete Anwendungen](keep-image-updated-managed-image-updates.md).
Um Updates für Anwendungen auf Ihren Streaming-Instances zu verwalten, können Sie alle bereitgestellten automatischen Update-Dienste verwenden. Sie können auch die Empfehlungen für die Installation von Updates befolgen, die vom Hersteller der Anwendung bereitgestellt werden.
# Service-übergreifende Prävention Amazon WorkSpaces Amazon-Anwendungen und verwirrtem Stellvertreter
Das Problem des verwirrten Stellvertreters ist ein Sicherheitsproblem, bei dem eine Entität, die keine Berechtigung zur Durchführung einer Aktion hat, eine privilegiertere Entität zur Durchführung der Aktion zwingen kann. In AWS kann der serviceübergreifende Identitätswechsel dazu führen, dass Kontoressourcen aufgrund des Problems des verwirrten Stellvertreters angreifbar werden. Ein serviceübergreifender Identitätswechsel tritt auf, wenn ein Service (der *Aufruf-Service*) einen anderen Service aufruft (den *aufgerufenen Service*). Der aufrufende Service kann den aufgerufenen Service so manipulieren, dass er seine Berechtigungen verwendet, um Aktionen auf die Ressourcen eines Kunden auszuführen, für die der aufrufende Service keine Berechtigung hat. Um dies zu verhindern, werden Tools AWS bereitgestellt, mit denen Sie Ihre Daten für alle Dienste schützen können, wobei Service Principals Zugriff auf Ressourcen in Ihrem Konto haben.
Wir empfehlen die Verwendung der globalen Bedingungskontext-Schlüssel `aws:SourceArn` und `aws:SourceAccount` in ressourcenbasierten Richtlinien, um die Berechtigungen beim Zugriff auf eine bestimmte Ressource zu beschränken. In den folgenden Richtlinien werden die Empfehlungen und Anforderungen für die Verwendung dieser Schlüssel zum Schutz Ihrer Ressourcen detailliert beschrieben:
+ Verwenden Sie `aws:SourceArn`, wenn Sie nur eine Ressource mit dem serviceübergreifenden Zugriff verknüpfen möchten.
+ Wenn Sie zulassen möchten, dass Ressourcen im angegebenen Konto mit der serviceübergreifenden Verwendung verknüpft werden, verwenden Sie `aws:SourceAccount`.
+ Wenn der `aws:SourceArn`-Schlüssel keine Konto-ID enthält, müssen Sie beide globalen Bedingungskontext-Schlüssel (`aws:SourceArn` und `aws:SourceAccount`) verwenden, um Berechtigungen einzuschränken.
+ Wenn Sie beide globalen Bedingungskontextschlüssel verwenden und der `aws:SourceArn`-Wert eine Konto-ID enthält, muss der `aws:SourceAccount`-Schlüssel dieselbe Konto-ID verwenden, wenn sie in derselben Richtlinienanweisung verwendet werden.
Der effektivste Weg, um sich vor dem Problem des verwirrten Stellvertreters zu schützen, ist die Verwendung des exakten Amazon-Ressourcennamens (ARN) der Ressource, die Sie zulassen möchten. Wenn Sie den vollständigen ARN der Ressource nicht kennen, verwenden Sie den globalen Bedingungskontextschlüssel `aws:SourceArn` mit Platzhaltern (z. B. \$1) für die unbekannten Teile des ARN. Sie können auch einen Platzhalter im ARN verwenden, wenn Sie mehrere Ressourcen angeben möchten. Sie können den ARN beispielsweise als `arn:aws:servicename::region-name::your AWS-Konto ID:*` formatieren.
**Topics**
+ [Beispiel: Dienstübergreifendes WorkSpaces Anwendungs- und Serviceangebot verwirrte Stellvertreter verhindern](example-confused-deputy.md)
+ [Beispiel: WorkSpaces Anwendungen, Flotte, Maschine, Rolle, dienstübergreifend, verwirrte Deputy Prevention](example-fleet-machine.md)
+ [Beispiel: WorkSpaces Anwendungen Elastic Fleets Sitzungsskript Amazon S3 S3-Bucket-Richtlinie serviceübergreifender verwirrter Deputy Prevention](example-elastic-fleets.md)
+ [Beispiel: WorkSpaces Anwendungen Anwendung Amazon S3 Bucket Policy Cross-Service Confused Deputy Prevention](example-s3-bucket.md)
# Beispiel: Dienstübergreifendes WorkSpaces Anwendungs- und Serviceangebot verwirrte Stellvertreter verhindern
WorkSpaces Applications nimmt mithilfe einer Vielzahl von Ressourcen eine Servicerolle an ARNs, was zu einer komplizierten bedingten Anweisung führt. Wir empfehlen, einen Platzhalter-Ressourcentyp zu verwenden, um unerwartete Ausfälle von WorkSpaces Anwendungsressourcen zu verhindern.
**Example `aws:SourceAccount` Bedingt:**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"appstream.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "your AWS-Konto ID"
}
}
}
]
}
```
**Example `aws:SourceArn` Bedingt:**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"appstream.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:appstream:us-east-1:111122223333:*"
}
}
}
]
}
```
# Beispiel: WorkSpaces Anwendungen, Flotte, Maschine, Rolle, dienstübergreifend, verwirrte Deputy Prevention
**Example `aws:SourceAccount` Bedingt:**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"appstream.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "your AWS-Konto ID"
}
}
}
]
}
```
**Example `aws:SourceArn` Bedingt:**
Wenn Sie eine IAM-Rolle für mehrere Flotten verwenden möchten, empfehlen wir, den `aws:SourceArn` globalen Kontextbedingungsschlüssel mit Platzhaltern (\$1) zu verwenden, um den Flottenressourcen mehrerer WorkSpaces Anwendungen zuzuordnen.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"appstream.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:appstream:us-east-1:111122223333:fleet/your-fleet-name"
}
}
}
]
}
```
# Beispiel: WorkSpaces Anwendungen Elastic Fleets Sitzungsskript Amazon S3 S3-Bucket-Richtlinie serviceübergreifender verwirrter Deputy Prevention
**Example `aws:SourceAccount` Bedingt:**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"appstream.amazonaws.com"
]
},
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::your-bucket-name/your-session-script-path",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "your AWS-Konto ID"
}
}
}
]
}
```
**Example `aws:SourceArn` Bedingt:**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"appstream.amazonaws.com"
]
},
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::bucket/AppStream2/*",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:appstream:us-east-1:111122223333:fleet/yourFleetName"
}
}
}
]
}
```
# Beispiel: WorkSpaces Anwendungen Anwendung Amazon S3 Bucket Policy Cross-Service Confused Deputy Prevention
Wenn Sie Daten in einem Amazon-S3-Bucket speichern, ist der Bucket möglicherweise dem Problem des verwirrten Stellvertreters ausgesetzt. Dadurch können Daten wie Elastic-Flotten, Anwendungsblocks, Setup-Skripts, Anwendungssymbole und Sitzungsskripts anfällig für böswillige Akteure werden.
Um Probleme mit verwirrten Stellvertretern zu vermeiden, können Sie die `aws:SourceAccount`-Bedingung oder die `aws:SourceArn`-Bedingung in der Amazon-S3-Bucket-Richtlinie für `ELASTIC-FLEET-EXAMPLE-BUCKET` angeben.
Die folgenden Ressourcenrichtlinien zeigen, wie Sie das Problem des verwirrten Stellvertreters auf eine der folgenden Weisen vermeiden können:
+ Das `aws:SourceAccount` mit deiner AWS Konto-ID
+ Der globale Bedingungskontextschlüssel `aws:SourceArn`
WorkSpaces Applications unterstützt derzeit nicht die Verhinderung verwirrter Stellvertreter für Anwendungssymbole. Der Service unterstützt nur VHD-Dateien und Setup-Skripts. Wenn Sie versuchen, zusätzliche Bedingungen für Anwendungssymbole hinzuzufügen, werden die Symbole den Endbenutzern nicht angezeigt.
Im folgenden Beispiel erlaubt die Bucket-Richtlinie nur den Zugriff auf die Flottenressourcen von WorkSpaces Applications Elastic im Konto des Besitzers`ELASTIC_FLEET_EXAMPLE_BUCKET`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ConfusedDeputyPreventionExamplePolicy",
"Effect": "Allow",
"Principal": {
"Service": "appstream.amazonaws.com"
},
"Action": "s3:GetObject",
"Resource": [
"arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/vhd-folder/*",
"arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/scripts/*"
],
"Condition": {
"StringEquals": {
"aws:SourceAccount": "your AWS-Konto ID"
}
}
},
{
"Sid": "AllowRetrievalPermissionsToS3AppIconsForAppStream",
"Effect": "Allow",
"Principal": {
"Service": "appstream.amazonaws.com"
},
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/app-icons/*"
}
]
}
```
------
Sie können die `aws:SourceArn`-Bedingung auch verwenden, um den Ressourcenzugriff für bestimmte Ressourcen zu beschränken.
**Anmerkung**
Wenn Sie den vollständigen ARN der Ressource nicht kennen oder wenn Sie mehrere Ressourcen angeben, verwenden Sie den globalen Bedingungskontextschlüssel `aws:SourceArn` mit Platzhaltern (\$1) für die unbekannten Teile des ARN.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ConfusedDeputyPreventionExamplePolicy",
"Effect": "Allow",
"Principal": {
"Service": "appstream.amazonaws.com"
},
"Action": "s3:GetObject",
"Resource": [
"arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/vhd-folder/*",
"arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/scripts/*"
],
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:appstream:us-east-1:111122223333:app-block/*"
}
}
},
{
"Sid": "AllowRetrievalPermissionsToS3AppIconsForAppStream",
"Effect": "Allow",
"Principal": {
"Service": "appstream.amazonaws.com"
},
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/app-icons/*"
}
]
}
```
------
Sie können die `aws:SourceArn`- und `aws:SourceAccount`-Bedingungen verwenden, um den Ressourcenzugriff für bestimmte Ressourcen und Konten zu beschränken.
**Anmerkung**
Wenn Sie den vollständigen ARN der Ressource nicht kennen oder wenn Sie mehrere Ressourcen angeben, verwenden Sie den globalen Bedingungskontextschlüssel `aws:SourceArn` mit Platzhaltern (\$1) für die unbekannten Teile des ARN.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ConfusedDeputyPreventionExamplePolicy",
"Effect": "Allow",
"Principal": {
"Service": "appstream.amazonaws.com"
},
"Action": "s3:GetObject",
"Resource": [
"arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/vhd-folder/*",
"arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/scripts/*"
],
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:appstream:us-east-1:111122223333:app-block/*"
},
"StringEquals": {
"aws:SourceAccount": "your AWS account ID"
}
}
},
{
"Sid": "AllowRetrievalPermissionsToS3AppIconsForAppStream",
"Effect": "Allow",
"Principal": {
"Service": "appstream.amazonaws.com"
},
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/app-icons/*"
}
]
}
```
------
# Bewährte Sicherheitsmethoden für WorkSpaces Amazon-Anwendungen
Cloud-Sicherheit genießt bei Amazon Web Services (AWS) höchste Priorität. Sicherheit und Compliance liegen in der gemeinsamen AWS Verantwortung des Kunden. Weitere Informationen finden Sie im [https://aws.amazon.com/compliance/shared-responsibility-model/](https://aws.amazon.com/compliance/shared-responsibility-model/). Als Kunde von AWS and WorkSpaces Applications ist es wichtig, Sicherheitsmaßnahmen auf verschiedenen Ebenen wie Stack, Flotte, Image und Netzwerk zu implementieren.
Da Applications kurzlebig ist, wird WorkSpaces Applications häufig als sichere Lösung für die Bereitstellung von Anwendungen und Desktops bevorzugt. Überlegen Sie, ob Antivirenlösungen, die in Windows-Bereitstellungen üblich sind, in Ihren Anwendungsfällen für eine Umgebung relevant sind, die vordefiniert ist und am Ende einer Benutzersitzung gelöscht wird. Virenschutz erhöht den Mehraufwand für virtualisierte Instanzen und ist daher eine bewährte Methode, um unnötige Aktivitäten zu vermeiden. Beispielsweise trägt das Scannen des Systemvolumes (das kurzlebig ist) beim Systemstart nicht zur allgemeinen Sicherheit von Anwendungen bei. WorkSpaces
Im Mittelpunkt der beiden wichtigsten Fragen für WorkSpaces Sicherheitsanwendungen stehen:
+ Ist es erforderlich, den Benutzerstatus über die Sitzung hinaus beizubehalten?
+ Wie viel Zugriff sollte ein Benutzer innerhalb einer Sitzung haben?
**Topics**
+ [Sicherung persistenter Daten](securing-persistent-data.md)
+ [Endpunktsicherheit und Virenschutz](endpoint-security-antivirus.md)
+ [Netzwerkausschlüsse](network-exclusions.md)
+ [Sicherung einer Anwendungssitzung WorkSpaces](securing-session.md)
+ [Firewalls und Routing](firewalls-routing.md)
+ [Prävention vor Datenverlust](data-loss-prevention.md)
+ [Steuerung des ausgehenden Datenverkehrs](controlling-egress-traffic.md)
+ [AWS Dienste nutzen](using-services.md)
# Sicherung persistenter Daten
Bei der Bereitstellung von WorkSpaces Anwendungen kann es erforderlich sein, dass der Benutzerstatus in irgendeiner Form beibehalten wird. Dabei kann es sich um die persistente Speicherung von Daten für einzelne Benutzer oder um die Beibehaltung von Daten für die Zusammenarbeit mithilfe eines gemeinsam genutzten Ordners handeln. AppStream2.0-Instance-Speicher ist kurzlebig und hat keine Verschlüsselungsoption.
WorkSpaces Applications ermöglicht die Persistenz des Benutzerstatus über Basisordner und Anwendungseinstellungen in Amazon S3. Einige Anwendungsfälle erfordern eine bessere Kontrolle über die Persistenz des Benutzerstatus. AWS Empfiehlt für diese Anwendungsfälle die Verwendung einer SMB-Dateifreigabe (Server Message Block).
## Benutzerstatus und Daten
Da die meisten Windows-Anwendungen am besten und sichersten funktionieren, wenn sie zusammen mit vom Benutzer erstellten Anwendungsdaten gespeichert werden, ist es eine bewährte Methode, diese Daten in den WorkSpaces Anwendungsflotten zu speichern. AWS-Region Das Verschlüsseln dieser Daten ist eine bewährte Methode. Das Standardverhalten des Benutzer-Basisordners besteht darin, Dateien und Ordner im Ruhezustand mit von Amazon S3 verwalteten Verschlüsselungsschlüsseln der AWS Schlüsselverwaltungsdienste () zu verschlüsseln.AWS KMS Es ist wichtig zu beachten, dass AWS Administratorbenutzer mit Zugriff auf die AWS Konsole oder den Amazon S3 S3-Bucket direkt auf diese Dateien zugreifen können.
Bei Designs, die ein SMB-Ziel (Server Message Block) von einer Windows-Dateifreigabe zum Speichern von Benutzerdateien und -ordnern erfordern, erfolgt der Vorgang entweder automatisch oder erfordert eine Konfiguration.
*Tabelle 5 — Optionen für die Sicherung von Benutzerdaten*
| **Ziel für kleine und mittlere Unternehmen** | **Encryption-at-rest** | **Encryption-in-transit** | **Virenschutz (AV)** |
| --- | --- | --- | --- |
| FSx für Windows-Dateiserver | [https://docs.aws.amazon.com/fsx/latest/WindowsGuide/encryption-at-rest.html](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/encryption-at-rest.html) | [https://docs.aws.amazon.com/fsx/latest/WindowsGuide/encryption-in-transit.html](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/encryption-in-transit.html) | AV, das auf einer Remote-Instanz installiert ist, führt einen Scan auf dem zugewiesenen Laufwerk durch |
| **Datei-Gateway, AWS Storage Gateway** | Standardmäßig werden alle AWS Storage Gateway in S3 gespeicherten Daten serverseitig mit Amazon S3-Managed Encryption Keys (SSE-S3) verschlüsselt. Sie können optional verschiedene Gateway-Typen konfigurieren, um gespeicherte Daten mit (KMS) zu verschlüsseln AWS Key Management Service | Alle Daten, die zwischen einer beliebigen Art von Gateway-Appliance und AWS Speicher übertragen werden, werden mit SSL verschlüsselt. | AV, das auf einer Remote-Instanz installiert ist, führt einen Scan auf dem zugewiesenen Laufwerk durch |
| EC2-basierte Windows-Dateiserver | [Aktivieren Sie die EBS-Verschlüsselung](https://docs.aws.amazon.com/kms/latest/developerguide/services-ebs.html) | PowerShell; Set- SmbServerConfiguration – EncryptData \$1True | Auf dem Server installiertes AV führt einen Scan auf lokalen Laufwerken durch |
# Endpunktsicherheit und Virenschutz
Aufgrund der kurzen Vergänglichkeit von WorkSpaces Anwendungsinstanzen und der mangelnden Persistenz der Daten ist ein anderer Ansatz erforderlich, um sicherzustellen, dass das Benutzererlebnis und die Leistung nicht durch Aktivitäten beeinträchtigt werden, die auf einem persistenten Desktop erforderlich wären. Endpoint Security Agents werden in WorkSpaces Anwendungs-Images installiert, wenn es eine Unternehmensrichtlinie gibt oder wenn sie für den externen Datenzugriff verwendet werden, z. B. E-Mail, Dateizugriff oder externes Surfen im Internet.
## Entfernen eindeutiger Kennungen
Endpoint Security Agents verfügen möglicherweise über eine GUID (Global Unique Identifier), die bei der Erstellung der Flotteninstanz zurückgesetzt werden muss. Den Anbietern stehen Anweisungen zur Installation ihrer Produkte in Images zur Verfügung, mit denen sichergestellt wird, dass für jede aus einem Image generierte Instanz eine neue GUID generiert wird.
Um sicherzustellen, dass die GUID nicht generiert wird, installieren Sie den Endpoint Security Agent als letzte Aktion, bevor Sie den WorkSpaces Anwendungsassistenten ausführen, um das Image zu generieren.
## Leistungsoptimierung
Anbieter von Endpoint Security bieten Switches und Einstellungen an, mit denen die Leistung von WorkSpaces Anwendungen optimiert wird. Die Einstellungen variieren je nach Anbieter und sind in deren Dokumentation zu finden, in der Regel in einem Abschnitt über VDI. Zu den gängigen Einstellungen gehören, ohne darauf beschränkt zu sein, die folgenden:
+ Schalten Sie die Startscans aus, um sicherzustellen, dass die Zeiten für die Erstellung, den Start und die Anmeldung von Instanzen minimiert werden
+ Schalten Sie geplante Scans aus, um unnötige Scans zu verhindern
+ Deaktivieren Sie Signatur-Caches, um die Dateiaufzählung zu verhindern
+ Aktivieren Sie die für VDI optimierten I/O-Einstellungen
+ Ausnahmen, die von Anwendungen zur Sicherstellung der Leistung erforderlich sind
Anbieter von Endpunktsicherheit stellen Anleitungen zur Verwendung mit virtuellen Desktop-Umgebungen zur Verfügung, die die Leistung optimieren.
+ Trend Micro Office [Scan-Unterstützung für virtuelle Desktop-Infrastrukturen — Apex One/ OfficeScan (](https://success.trendmicro.com/solution/1055260-best-practice-for-setting-up-virtual-desktop-infrastructure-vdi-in-officescan)trendmicro.com)
+ CrowdStrike und [wie installiert man den CrowdStrike Falcon im Rechenzentrum](https://www.crowdstrike.com/blog/tech-center/install-falcon-datacenter/)
+ Sophos und [Sophos Central Endpoint: So installieren Sie auf einem Gold-Image, um doppelte Identitäten zu vermeiden,](https://support.sophos.com/support/s/article/KB-000035040?language=en_US) und [Sophos Central: Bewährte Methoden bei der Installation von Windows-Endpunkten](https://support.sophos.com/support/s/article/KB-000039009?language=en_US) in virtuellen Desktop-Umgebungen
+ McAfee und Bereitstellung und [Bereitstellung von McAfee Agenten auf Virtual Desktop Infrastructure-Systemen](https://kc.mcafee.com/corporate/index?page=content&id=KB87654)
+ Microsoft Endpoint Security und [Konfiguration von Microsoft Defender Antivirus für nicht persistente VDI-Maschinen - Microsoft Tech Community](https://techcommunity.microsoft.com/t5/microsoft-defender-for-endpoint/configuring-microsoft-defender-antivirus-for-non-persistent-vdi/ba-p/1489633)
## Ausnahmen beim Scannen
Wenn Sicherheitssoftware in WorkSpaces Anwendungsinstanzen installiert ist, darf die Sicherheitssoftware die folgenden Prozesse nicht beeinträchtigen.
*Tabelle 6 — WorkSpaces Anwendungsprozesse Sicherheitssoftware darf die folgenden Prozesse nicht beeinträchtigen.*
| **Service** | **Prozesse** |
| --- | --- |
| AmazonCloudWatchAgent | „C:\$1Program Dateien\$1 Amazon\$1AmazonCloudWatchAgent\$1 start-amazon- cloudwatch-agent.exe“ |
| AmazonSSMAgent | „C:\$1Program Dateien\$1 Amazon\$1 SSM\$1 amazon-ssm-agent .exe“ |
| NICE DCV | „C:\$1Program Dateien\$1 NICE\$1 DCV\$1 Server\$1 bin\$1 dcvserver.exe“ "C:\$1Program Dateien\$1 NICE\$1 DCV\$1 Server\$1 bin\$1 dcvagent.exe“ |
| WorkSpaces Anwendungen | „C:\$1Program Dateien\$1 Amazon\$1 AppStream 2\$1StorageConnector\$1 StorageConnector .exe“ Im Ordner "C:\$1Program Files\$1 Amazon\$1 Photon\$1“ “. \$1 Agent\$1 PhotonAgent .exe“ “. \$1 Agent\$1 s5cmd.exe“ “. \$1WebServer\$1 PhotonAgentWebServer .exe“ “. \$1CustomShell\$1 PhotonWindowsAppSwitcher .exe“ “. \$1CustomShell\$1 PhotonWindowsCustomShell .exe“ “. \$1CustomShell\$1 PhotonWindowsCustomShellBackground .exe“ |
## Ordner
Wenn Sicherheitssoftware in WorkSpaces Anwendungsinstanzen installiert ist, darf die Software die folgenden Ordner nicht beeinträchtigen:
**Example**
```
C:\Program Files\Amazon\*
C:\ProgramData\Amazon\*
C:\Program Files (x86)\AWS Tools\*
C:\Program Files (x86)\AWS SDK for .NET\*
C:\Program Files\NICE\*
C:\ProgramData\NICE\*
C:\AppStream\*
```
## Hygiene der Endpunktsicherheitskonsole
WorkSpaces Anwendungen erstellen jedes Mal, wenn ein Benutzer nach Ablauf der Timeouts für Leerlauf und Verbindungsabbruch eine Verbindung herstellt, neue, eindeutige Instanzen. Die Instanzen erhalten einen eindeutigen Namen und werden in Kondolen für das Endpoint Security Management zusammengefasst. Wenn Sie festlegen, dass ungenutzte, veraltete Maschinen gelöscht werden, die älter als 4 Tage oder mehr (oder weniger, je nach Zeitlimit für die WorkSpaces Anwendungssitzungen) sind, wird die Anzahl der abgelaufenen Instanzen in der Konsole minimiert.
# Netzwerkausschlüsse
Der Netzwerkbereich für die WorkSpaces Anwendungsverwaltung (`198.19.0.0/16`) und die folgenden Ports und Adressen sollten nicht durch Sicherheits-/Firewall- oder Antivirenlösungen innerhalb von WorkSpaces Anwendungsinstanzen blockiert werden.
*Tabelle 7 — Ports in WorkSpaces Anwendungs-Streaming-Instanzen darf Sicherheitssoftware nicht stören*
| **Port** | **Usage** |
| --- | --- |
| 8300 | Dies wird für den Aufbau der Streaming-Verbindung verwendet |
| 3128 | Dies wird für die Verwaltung der Streaming-Instanz von WorkSpaces Applications verwendet |
| 8000 | Dies wird für die Verwaltung der Streaming-Instanz von WorkSpaces Applications verwendet |
| 8443 | Dies wird für die Verwaltung der Streaming-Instanz von WorkSpaces Applications verwendet |
| 53 | DNS |
*Tabelle 8 — WorkSpaces Anwendungen, verwaltete Serviceadressen, mit denen Sicherheitssoftware nicht interferieren darf*
| **Port** | **Usage** |
| --- | --- |
| 169.254.169.123 | NTP |
| 169,254,169,249 | NVIDIA GRID-Lizenzservice |
| 169.254.169.250 | KMS |
| 169,254,169,251 | KMS |
| 169,254,169,253 | DNS |
| 169,254,169,254 | Metadaten |
# Sicherung einer Anwendungssitzung WorkSpaces
## Einschränkung der Anwendungs- und Betriebssystemkontrollen
WorkSpaces Mithilfe von Anwendungen kann der Administrator genau angeben, welche Anwendungen im Anwendungsstreaming-Modus von der Webseite aus gestartet werden können. Dies garantiert jedoch nicht, dass nur die angegebenen Anwendungen ausgeführt werden können.
Windows-Dienstprogramme und -Anwendungen können auf zusätzliche Weise über das Betriebssystem gestartet werden. AWS empfiehlt die Verwendung von [https://aws.amazon.com/blogs/desktop-and-application-streaming/using-microsoft-applocker-to-manage-application-experience-on-amazon-appstream-2-0/](https://aws.amazon.com/blogs/desktop-and-application-streaming/using-microsoft-applocker-to-manage-application-experience-on-amazon-appstream-2-0/), AppLocker um sicherzustellen, dass nur die Anwendungen ausgeführt werden können, die Ihr Unternehmen benötigt. Die Standardregeln müssen geändert werden, da sie jedem Benutzer Pfadzugriff auf wichtige Systemverzeichnisse gewähren.
**Anmerkung**
Für Windows Server 2016 und 2019 muss der Windows Application Identity-Dienst ausgeführt werden, um AppLocker Regeln durchzusetzen. Der Anwendungszugriff über WorkSpaces Anwendungen, die Microsoft verwenden, AppLocker wird im [AppStream Administratorhandbuch detailliert beschrieben.](https://docs.aws.amazon.com/appstream2/latest/developerguide/data-protection.html#application-access)
Verwenden Sie für Flotteninstanzen, die zu einer Active Directory-Domäne gehören, Gruppenrichtlinienobjekte (GPOs), um Benutzer- und Systemeinstellungen bereitzustellen, um den Anwendungs- und Ressourcenzugriff der Benutzer zu sichern.
# Firewalls und Routing
Bei der Erstellung einer WorkSpaces Anwendungsflotte müssen Subnetze und eine Sicherheitsgruppe zugewiesen werden. Subnetzen sind bereits Netzwerkzugriffskontrolllisten (NACLs) und Routing-Tabellen zugewiesen. Sie können beim Starten eines neuen Image Builders oder beim Erstellen einer neuen Flotte [bis zu fünf Sicherheitsgruppen](https://docs.aws.amazon.com/appstream2/latest/developerguide/managing-network-security-groups.html) zuordnen. Sicherheitsgruppen können bis zu [fünf Zuweisungen aus den vorhandenen Sicherheitsgruppen erhalten](https://docs.aws.amazon.com/appstream2/latest/developerguide/managing-network-security-groups.html). Für jede Sicherheitsgruppe fügen Sie Regeln hinzu, die den ausgehenden und eingehenden Netzwerkverkehr von und zu Ihren Instances steuern
Eine NACL ist eine optionale Sicherheitsebene für Ihre VPC, die als statuslose Firewall zur Steuerung des Datenverkehrs in und aus einem oder mehreren Subnetzen fungiert. Sie können ein Netzwerk ACLs mit Regeln einrichten, die Ihren Sicherheitsgruppen ähneln, um Ihrer VPC eine zusätzliche Sicherheitsebene hinzuzufügen. Weitere Informationen zu den Unterschieden zwischen Sicherheitsgruppen und Netzwerken ACLs finden Sie auf [der NACLs Seite zum Vergleich von Sicherheitsgruppen und](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html#VPC_Security_Comparison) Netzwerken.
Beachten Sie bei der Entwicklung und Anwendung von Sicherheitsgruppen- und NACL-Regeln die bewährten Methoden von AWS Well-Architected für geringste Rechte. Bei den *geringsten* Rechten handelt es sich um ein Prinzip, bei dem nur die Berechtigungen gewährt werden, die für die Ausführung einer Aufgabe erforderlich sind.
Für Kunden, die über ein privates Hochgeschwindigkeitsnetzwerk verfügen, das ihre lokale Umgebung mit AWS (über AWS Direct Connect) verbindet, können Sie die Verwendung der VPC-Endpunkte für in Betracht ziehen AppStream, was bedeutet, dass der Streaming-Verkehr über Ihre private Netzwerkverbindung geleitet wird und nicht über das öffentliche Internet. Weitere Informationen zu diesem Thema finden Sie im Abschnitt VPC-Endpunkt der WorkSpaces Anwendungsstreaming-Schnittstelle in diesem Dokument.
# Prävention vor Datenverlust
Wir werden uns zwei Arten der Verhinderung von Datenverlust ansehen.
## Steuerelemente für die Datenübertragung vom Client zur AppStream 2.0-Instance
*Tabelle 9 — Leitlinien für die Steuerung des Dateneingangs und -ausgangs*
| **Einstellung** | **Optionen** | **Empfehlung** |
| --- | --- | --- |
| Zwischenablage | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/appstream2/latest/developerguide/data-loss-prevention.html) | Wenn Sie diese Einstellung deaktivieren, wird das Kopieren und Einfügen innerhalb der Sitzung nicht deaktiviert. Wenn das Kopieren von Daten in die Sitzung erforderlich ist, wählen Sie Nur in Remotesitzung einfügen, um das Risiko eines Datenverlusts zu minimieren. |
| Übertragung von Dateien | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/appstream2/latest/developerguide/data-loss-prevention.html) | Vermeiden Sie es, diese Einstellung zu aktivieren, um Datenlecks zu verhindern. |
| Auf lokales Gerät drucken | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/appstream2/latest/developerguide/data-loss-prevention.html) | Wenn Drucken erforderlich ist, verwenden Sie Netzwerkdrucker, die von Ihrem Unternehmen gesteuert und überwacht werden. |
Berücksichtigen Sie die Vorteile der bestehenden Datenübertragungslösung für Unternehmen gegenüber den Stack-Einstellungen. Diese Konfigurationen sind nicht als Ersatz für eine umfassende sichere Datenübertragungslösung konzipiert.
# Steuerung des ausgehenden Datenverkehrs
Wenn Datenverlust ein Problem darstellt, ist es wichtig, abzudecken, worauf ein Benutzer zugreifen kann, sobald er sich in seiner WorkSpaces Anwendungsinstanz befindet. Wie sieht der Netzwerkausgangspfad (oder Ausgangspfad) aus? Es ist eine allgemeine Anforderung, dass dem Endbenutzer innerhalb seiner WorkSpaces Anwendungsinstanz ein öffentlicher Internetzugang zur Verfügung steht. Daher muss die Platzierung einer WebProxy oder einer Content-Filtering-Lösung im Netzwerkpfad in Betracht gezogen werden. Zu den weiteren Überlegungen gehören eine lokale Antiviren-Anwendung und andere Sicherheitsmaßnahmen für Endgeräte innerhalb der AppStream Instanz (weitere Informationen finden Sie im Abschnitt „Endpunktsicherheit und Virenschutz“).
# AWS Dienste nutzen
## AWS Identity and Access Management
Es hat sich bewährt, eine IAM-Rolle für den Zugriff auf AWS Dienste zu verwenden und die damit verbundene IAM-Richtlinie genau festzulegen, sodass nur Benutzer in WorkSpaces Anwendungssitzungen Zugriff haben, ohne dass zusätzliche Anmeldeinformationen verwaltet werden müssen. Folgen Sie den [https://docs.aws.amazon.com/appstream2/latest/developerguide/using-iam-roles-to-grant-permissions-to-applications-scripts-streaming-instances.html#best-practices-for-using-iam-role-with-streaming-instances](https://docs.aws.amazon.com/appstream2/latest/developerguide/using-iam-roles-to-grant-permissions-to-applications-scripts-streaming-instances.html#best-practices-for-using-iam-role-with-streaming-instances) mit Anwendungen. WorkSpaces
Erstellen Sie [https://docs.aws.amazon.com/appstream2/latest/developerguide/s3-iam-policy.html](https://docs.aws.amazon.com/appstream2/latest/developerguide/s3-iam-policy.html), die erstellt wurden, um Benutzerdaten sowohl in Basisordnern als auch in Anwendungseinstellungen dauerhaft zu speichern. Dadurch wird der Zugriff durch Administratoren, die [https://docs.aws.amazon.com/appstream2/latest/developerguide/s3-iam-policy.html#s3-iam-policy-restricted-access](https://docs.aws.amazon.com/appstream2/latest/developerguide/s3-iam-policy.html#s3-iam-policy-restricted-access).
## VPC-Endpunkte
Ein VPC-Endpunkt ermöglicht private Verbindungen zwischen Ihrer VPC und unterstützten AWS Diensten und VPC-Endpunktdiensten, die von bereitgestellt werden. AWS PrivateLink AWS PrivateLink ist eine Technologie, mit der Sie privat auf Dienste zugreifen können, indem Sie private IP-Adressen verwenden. Der Datenverkehr zwischen Ihrer VPC und dem anderen Service verlässt das Amazon-Netzwerk nicht. Wenn der öffentliche Internetzugang nur für AWS Dienste erforderlich ist, entfernen VPC-Endpunkte die Anforderung für NAT-Gateways und Internet-Gateways vollständig.
In Umgebungen, in denen Automatisierungsroutinen oder Entwickler API-Aufrufe für WorkSpaces Anwendungen benötigen, [https://docs.aws.amazon.com/appstream2/latest/developerguide/access-api-cli-through-interface-vpc-endpoint.html](https://docs.aws.amazon.com/appstream2/latest/developerguide/access-api-cli-through-interface-vpc-endpoint.html). [https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateStreamingURL.html](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateStreamingURL.html) Das folgende Diagramm zeigt ein Beispiel-Setup, bei dem WorkSpaces Anwendungs-API und Streaming-VPC-Endpunkte von Lambda-Funktionen und EC2-Instances genutzt werden.
![\[Ein Referenzarchitekturdiagramm für den VPC-Endpunkt\]](http://docs.aws.amazon.com/de_de/appstream2/latest/developerguide/images/vpc-endpoint.jpeg)
*VPC-Endpunkt*
Mit dem Streaming-VPC-Endpunkt können Sie Sitzungen über einen VPC-Endpunkt streamen. Der Streaming-Schnittstellenendpunkt verwaltet den Streaming-Datenverkehr innerhalb Ihrer VPC. Der Streaming-Datenverkehr umfasst Pixel, USB, Benutzereingaben, Audio, Zwischenablage, Datei-Upload und -Download sowie Druckerdatenverkehr. Um den VPC-Endpunkt zu verwenden, muss die VPC-Endpunkteinstellung im WorkSpaces Anwendungsstapel aktiviert sein. Dies dient als Alternative zum Streamen von Benutzersitzungen über das öffentliche Internet von Standorten aus, die nur eingeschränkten Internetzugang haben und von einem Zugriff über eine Direct Connect-Instanz profitieren würden. Für das Streaming von Benutzersitzungen über einen VPC-Endpunkt ist Folgendes erforderlich:
+ Die Sicherheitsgruppen, die dem Schnittstellenendpunkt zugeordnet sind, müssen eingehenden Zugriff auf Port `443` (TCP) und Ports `1400–1499` (TCP) aus dem IP-Adressbereich ermöglichen, von dem aus Ihre Benutzer eine Verbindung herstellen.
+ Die Network Access Control List für die Subnetze muss ausgehenden Datenverkehr von kurzlebigen Netzwerkports `1024-65535` (TCP) in den IP-Adressbereich zulassen, von dem aus Ihre Benutzer eine Verbindung herstellen.
+ Eine Internetverbindung ist erforderlich, um Benutzer zu authentifizieren und die Webressourcen bereitzustellen, die Applications zum Funktionieren benötigen. WorkSpaces
Weitere Informationen zur Beschränkung des Datenverkehrs auf AWS Dienste mit WorkSpaces Anwendungen finden Sie im Administratorhandbuch für das [https://docs.aws.amazon.com/appstream2/latest/developerguide/creating-streaming-from-interface-vpc-endpoints.html](https://docs.aws.amazon.com/appstream2/latest/developerguide/creating-streaming-from-interface-vpc-endpoints.html).
Wenn ein vollständiger öffentlicher Internetzugang erforderlich ist, empfiehlt es sich, die verstärkte Sicherheitskonfiguration (ESC) von Internet Explorer im Image Builder zu deaktivieren. Weitere Informationen finden Sie im Administratorhandbuch für WorkSpaces Anwendungen zur [https://docs.aws.amazon.com/appstream2/latest/developerguide/customize-fleets.html#customize-fleets-disable-ie-esc](https://docs.aws.amazon.com/appstream2/latest/developerguide/customize-fleets.html#customize-fleets-disable-ie-esc).
## Konfiguration des Instance Metadata Service (IMDS) auf Ihren Instances
In diesem Thema wird der Instanz-Metadatendienst (IMDS) beschrieben.
*Instance-Metadaten* sind Daten einer Amazon Elastic Compute Cloud (Amazon EC2)-Instance, mit denen Anwendungen die ausgeführte Instance konfigurieren oder verwalten können. Der Instance-Metadatenservice (IMDS) ist eine On-Instance-Komponente, die von Code auf der Instance verwendet wird, um sicher auf Instance-Metadaten zuzugreifen. Weitere Informationen finden Sie unter [Instance-Metadaten und Benutzerdaten](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-metadata.html) im *Amazon-EC2-Benutzerhandbuch*.
Code kann mit einer von zwei Methoden auf Instanzmetadaten von einer laufenden Instanz aus zugreifen: Instanz-Metadatendienst Version 1 (IMDSv1) oder Instanz-Metadatendienst Version 2 (IMDSv2). IMDSv2 verwendet sitzungsorientierte Anfragen und behebt verschiedene Arten von Sicherheitslücken, die für den Zugriff auf das IMDS genutzt werden könnten. Informationen zu diesen beiden Methoden finden Sie unter [Konfiguration des Instance-Metadaten-Service](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-service.html) im *Amazon EC2 EC2-Benutzerhandbuch*.
### Ressourcenunterstützung für IMDS
Always-On-, On-Demand-Flotten, Single-Session- und Multi-Session-Flotten sowie alle Image Builders unterstützen IMDSv1 sowohl die IMDSv2 Ausführung von WorkSpaces Anwendungs-Images mit der Agent-Version oder dem verwalteten Image-Update, das am oder nach dem 16. Januar 2024 veröffentlicht wurde.
Elastic Fleets- und AppBlock Builders-Instances unterstützen auch sowohl als auch. IMDSv1 IMDSv2
### Beispiel für IMDS-Attributeinstellungen
Im Folgenden finden Sie zwei Beispiele für die Wahl der IMDS-Methode:
#### Beispiel für ein Java v2-SDK
Im folgenden Beispiel wird die Deaktivierung IMDSv1 mithilfe von `disableIMDSV1` Attributen angefordert
```
CreateFleetRequest request = CreateFleetRequest.builder()
.name("TestFleet")
.imageArn("arn:aws:appstream:us-east-1::image/TestImage")
.instanceType("stream.standard.large")
.fleetType(FleetType.ALWAYS_ON)
.computeCapacity(ComputeCapacity.builder()
.desiredInstances(5)
.build())
.description("Test fleet description")
.displayName("Test Fleet Display Name")
.enableDefaultInternetAccess(true)
.maxUserDurationInSeconds(3600)
.disconnectTimeoutInSeconds(900)
.idleDisconnectTimeoutInSeconds(600)
.iamRoleArn("arn:aws:iam::123456789012:role/TestRole")
.streamView(StreamView.APP)
.platform(PlatformType.WINDOWS)
.maxConcurrentSessions(10)
.maxSessionsPerInstance(2)
.tags(tags)
.disableIMDSV1(true)
.build();
```
Setzen **Sie disable IMDSV1** auf true, um es zu deaktivieren IMDSv1 und zu erzwingen IMDSv2.
Setzen **Sie disable IMDSV1** auf false, um IMDSv1 sowohl als auch zu aktivieren IMDSv2.
#### CLI-Beispiel
Im folgenden Beispiel wird die Deaktivierung IMDSv1 mithilfe von `--disable-imdsv1` Attributen angefordert
```
aws appstream create-fleet --name test-fleet --image-arn "arn:aws:appstream:us-east-1::image/test-image" --disable-imdsv1 --instance-type stream.standard.small --compute-capacity DesiredInstances=2 --max-user-duration-in-seconds 57600 --disconnect-timeout-in-seconds 57600 --region us-east-1
```
Auf true setzen`--disable-imdsv1`, um es zu deaktivieren IMDSv1 und zu erzwingen IMDSv2.
Auf false setzen`--no-disable-imdsv1`, um sowohl als auch IMDSv1 zu aktivieren IMDSv2.