Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Protección de datos en Amazon AppStream 2.0
El [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) de AWS se aplica a la protección de datos en Amazon AppStream 2.0. Como se describe en este modelo, AWS es responsable de proteger la infraestructura global que ejecuta toda la Nube de AWS. Es responsable de mantener el control sobre su contenido que se encuentra alojado en esta infraestructura. Este contenido incluye la configuración de seguridad y las tareas de administración para el Servicios de AWS que utiliza. Para obtener más información sobre la privacidad de datos, consulte [Preguntas frecuentes sobre la privacidad de datos](https://aws.amazon.com/compliance/data-privacy-faq). Para obtener información acerca de la protección de datos en Europa, consulte la publicación de blog [The AWS Shared Responsability Model and GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) en el *Blog de seguridad de AWS*.
Con fines de protección de datos, recomendamos proteger las credenciales de Cuenta de AWS y configurar cuentas de usuario individuales con AWS Identity and Access Management (IAM). De esta manera, cada usuario recibe únicamente los permisos necesarios para cumplir con sus obligaciones laborales. También recomendamos proteger sus datos de las siguientes maneras:
+ Utiliza la autenticación multifactor (MFA) en cada cuenta.
+ Utiliza SSL/TLS para comunicarse con los recursos de AWS. Nosotros recomendamos TLS 1.2.
+ Configure la API y el registro de actividad del usuario con AWS CloudTrail.
+ Utilice las soluciones de cifrado de AWS, junto con todos los controles de seguridad predeterminados dentro de los servicios de AWS.
+ Utilice avanzados servicios de seguridad administrados, como Amazon Macie, que lo ayuden a detectar y proteger los datos personales almacenados en Amazon S3.
+ Si necesita módulos criptográficos validados FIPS 140-2 al acceder a AWS a través de una interfaz de línea de comandos o una API, utilice un punto de conexión de FIPS. Para obtener más información sobre los puntos de enlace de FIPS disponibles, consulte [Estándar de procesIAMento de la información federal (FIPS) 140-2](https://aws.amazon.com/compliance/fips/).
Recomendamos encarecidamente que nunca introduzca información de identificación confidencial, como, por ejemplo, direcciones de email de sus clientes, en etiquetas o en los campos de formato libre, como el campo **Name (Nombre)**. No debe especificar esta información cuando trabaje con AppStream 2.0 u otros servicios de AWS a través de la consola, la API, la AWS CLI o SDK de AWS. Los datos que ingresa en etiquetas o campos de formato libre utilizados para los nombres se pueden utilizar para los registros de facturación o diagnóstico. Si proporciona una URL a un servidor externo, le recomendamos encarecidamente que no incluya información de credenciales en la URL para validar la solicitud para ese servidor.
**Topics**
+ [Cifrado en reposo](encryption-rest.md)
+ [Cifrado en tránsito](encryption-transit.md)
+ [Controles de administrador](administrator-controls.md)
+ [Acceso de aplicaciones](application-access.md)
# Cifrado en reposo
Las instancias de flota de AppStream 2.0 son de naturaleza efímera. Una vez finalizada la sesión de streaming de un usuario, termina la instancia subyacente y su volumen asociado de Amazon Elastic Block Store (Amazon EBS). Además, AppStream 2.0 recicla periódicamente las instancias no utilizadas.
Cuando habilita la [persistencia de configuración de la aplicación](how-it-works-app-settings-persistence.md), las [carpetas de inicio](home-folders-admin.md), los [scripts de sesión](enable-S3-bucket-storage-session-script-logs.md) o los [informes de uso](enable-usage-reports.md) para los usuarios, los datos generados por los usuarios y almacenados en buckets de Amazon Simple Storage Service se cifran en reposo. AWS Key Management Service es un servicio que combina hardware y software seguros y de alta disponibilidad para proporcionar un sistema de administración de claves escalado para la nube. Amazon S3 usa [CMK administradas por AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk) para cifrar sus datos de objetos de Amazon S3.
# Cifrado en tránsito
En la siguiente tabla se proporciona información sobre cómo se cifran los datos en tránsito. Si corresponde, también se enumeran otros métodos de protección de datos para AppStream 2.0.
| Datos | Ruta de acceso a la red | Cómo se protege |
| --- | --- | --- |
| Activos web Este tráfico incluye activos como imágenes y archivos JavaScript. | Entre los usuarios de AppStream 2.0 y AppStream 2.0 | Cifrado mediante TLS 1.2 |
| Pixel y tráfico de streaming relacionado | Entre los usuarios de AppStream 2.0 y AppStream 2.0 | Cifrado mediante el estándar de cifrado avanzado de 256 bits (AES-256) Transportados con TLS 1.2 |
| Tráfico de API | Entre los usuarios de AppStream 2.0 y AppStream 2.0 | Cifrado mediante TLS 1.2 Las solicitudes para crear una conexión se firman mediante Sigv4 |
| Configuración de la aplicación y datos de la carpeta de inicio generados por los usuarios Aplicable cuando la persistencia de configuración de la aplicación y las carpetas de inicio están habilitadas. | Entre los usuarios de AppStream 2.0 y Amazon S3 | Cifrado mediante puntos de conexión SSL de Amazon S3 |
| Tráfico administrado por AppStream 2.0 | Entre instancias de streaming de AppStream 2.0 y: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/appstream2/latest/developerguide/encryption-transit.html) | Cifrado mediante TLS 1.2 Las solicitudes para crear una conexión se firman mediante Sigv4 si corresponde |
# Controles de administrador
AppStream 2.0 proporciona controles administrativos que puede utilizar para limitar las formas en que los usuarios pueden transferir datos entre su equipo local y una instancia de flota de AppStream 2.0. Puede limitar o deshabilitar lo siguiente al [crear o actualizar una pila de AppStream 2.0](set-up-stacks-fleets-install.md):
+ Acciones del portapapeles y de copiar y pegar
+ Cargar y descargar archivos, incluida la redirección de carpetas y unidades
+ Imprimir
Al crear una imagen de AppStream 2.0, puede especificar qué dispositivos USB están disponibles para redirigir a instancias de flota de AppStream 2.0 desde el cliente de AppStream 2.0 para Windows. Los dispositivos USB que especifique estarán disponibles para su uso durante las sesiones de streaming de los usuarios de AppStream 2.0. Para obtener más información, consulte [Cualificación de dispositivos USB para utilizarlos con aplicaciones de streaming](qualify-usb-devices.md).
# Acceso de aplicaciones
De forma predeterminada, AppStream 2.0 permite que las aplicaciones que especifique en la imagen lancen otras aplicaciones y archivos ejecutables en el compilador de imágenes y la instancia de flota. Esto garantiza que las aplicaciones con dependencias en otras aplicaciones (por ejemplo, una aplicación que lanza el navegador para navegar al sitio web de un producto) funcionen como se esperaba. Asegúrese de configurar los controles administrativos, los grupos de seguridad y otro software de seguridad para conceder a los usuarios los permisos mínimos necesarios para acceder a los recursos y transferir datos entre sus equipos locales y las instancias de flota.
Puede utilizar software de control de aplicaciones, como [Microsoft AppLocker](https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/applocker/applocker-overview) y políticas para controlar qué aplicaciones y archivos pueden ejecutar los usuarios. El software y las políticas de control de aplicaciones le ayudan a controlar los archivos ejecutables, los scripts, los archivos del instalador de Windows, las bibliotecas de enlaces dinámicos y los paquetes de aplicaciones que los usuarios pueden ejecutar en los compiladores de imágenes de AppStream 2.0 y las instancias de flotas.
**nota**
El software del agente de AppStream 2.0 se basa en el símbolo del sistema de Windows y en Windows Powershell para aprovisionar instancias de streaming. Si elige impedir que los usuarios lancen el símbolo del sistema de Windows o Windows Powershell, las políticas no deben aplicarse a Windows NT AUTHORITY\$1SYSTEM ni a los usuarios del grupo administradores.
| Tipo de regla | Acción | Usuario o grupo de Windows | Nombre/Ruta | Condición | Descripción |
| --- | --- | --- | --- | --- | --- |
| Ejecutable | Permitir | NT AUTHORITY\$1System | \$1 | Ruta | Necesario para el software del agente de AppStream 2.0 |
| Ejecutable | Permitir | BUILTIN\$1Administrators | \$1 | Ruta | Necesario para el software del agente de AppStream 2.0 |
| Ejecutable | Permitir | A todos | %PROGRAMFILES%\$1nodejs\$1\$1 | Ruta | Necesario para el software del agente de AppStream 2.0 |
| Ejecutable | Permitir | A todos | %PROGRAMFILES%\$1NICE\$1\$1 | Ruta | Necesario para el software del agente de AppStream 2.0 |
| Ejecutable | Permitir | A todos | %PROGRAMFILES%\$1Amazon\$1\$1 | Ruta | Necesario para el software del agente de AppStream 2.0 |
| Ejecutable | Permitir | A todos | %PROGRAMFILES%\$1\$1\$1 | Ruta | Necesario para el software del agente de AppStream 2.0 cuando se utilizan soluciones de almacenamiento persistentes, como Google Drive o Microsoft OneDrive para la Empresa. Esta excepción no es necesaria cuando se utilizan carpetas de inicio de AppStream 2.0. |