Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Seguridad en las WorkSpaces aplicaciones de Amazon
<a name="security"></a>

La seguridad en la nube AWS es la máxima prioridad. Como AWS cliente, usted se beneficia de una arquitectura de centro de datos y red diseñada para cumplir con los requisitos de las organizaciones más sensibles a la seguridad.

La seguridad es una responsabilidad compartida entre usted AWS y usted. El [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) la describe como seguridad de la nube y seguridad en la nube:
+ **Seguridad de la nube**: AWS es responsable de proteger la infraestructura que ejecuta AWS los servicios en la AWS nube. AWS también le proporciona servicios que puede utilizar de forma segura. Los auditores externos prueban y verifican periódicamente la eficacia de nuestra seguridad como parte de los [AWS programas](https://aws.amazon.com/compliance/programs/) de de . Para obtener información sobre los programas de conformidad que se aplican a WorkSpaces las aplicaciones, consulte [AWS Servicios incluidos en el ámbito de aplicación del programa de conformidad AWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Seguridad en la nube**: su responsabilidad viene determinada por el AWS servicio que utilice. También es responsable de otros factores, incluida la confidencialidad de los datos, los requisitos de la empresa y la legislación y los reglamentos aplicables 

Esta documentación le ayuda a comprender cómo aplicar el modelo de responsabilidad compartida al utilizar WorkSpaces las aplicaciones. Le muestra cómo configurar WorkSpaces las aplicaciones para que cumplan sus objetivos de seguridad y conformidad. También aprenderá a utilizar otros AWS servicios que le ayudan a supervisar y proteger los recursos de sus WorkSpaces aplicaciones.

**Topics**
+ [Protección de datos en Amazon AppStream 2.0](data-protection.md)
+ [Identity and Access Management para WorkSpaces aplicaciones de Amazon](controlling-access.md)
+ [Registro y monitorización en Amazon AppStream 2.0](logging-monitoring-alerting.md)
+ [Validación de la conformidad de Amazon AppStream 2.0](compliance-validation.md)
+ [Resiliencia en Amazon AppStream 2.0](disaster-recovery-resiliency.md)
+ [Seguridad de la infraestructura en Amazon AppStream 2.0](infrastructure-security.md)
+ [Grupos de seguridad en Amazon WorkSpaces Applications](managing-network-security-groups.md)
+ [Administración de actualizaciones en Amazon AppStream 2.0](update-management.md)
+ [Amazon WorkSpaces Applications Cross-Service Confused Deputy Prevention](confused-deputy.md)
+ [Mejores prácticas de seguridad en Amazon WorkSpaces Applications](security-best-practices.md)

# Protección de datos en Amazon AppStream 2.0
<a name="data-protection"></a>

El [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) de AWS se aplica a la protección de datos en Amazon AppStream 2.0. Como se describe en este modelo, AWS es responsable de proteger la infraestructura global que ejecuta toda la Nube de AWS. Es responsable de mantener el control sobre su contenido que se encuentra alojado en esta infraestructura. Este contenido incluye la configuración de seguridad y las tareas de administración para el Servicios de AWS que utiliza. Para obtener más información sobre la privacidad de datos, consulte [Preguntas frecuentes sobre la privacidad de datos](https://aws.amazon.com/compliance/data-privacy-faq). Para obtener información acerca de la protección de datos en Europa, consulte la publicación de blog [The AWS Shared Responsability Model and GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) en el *Blog de seguridad de AWS*.

Con fines de protección de datos, recomendamos proteger las credenciales de Cuenta de AWS y configurar cuentas de usuario individuales con AWS Identity and Access Management (IAM). De esta manera, cada usuario recibe únicamente los permisos necesarios para cumplir con sus obligaciones laborales. También recomendamos proteger sus datos de las siguientes maneras:
+ Utiliza la autenticación multifactor (MFA) en cada cuenta.
+ Utiliza SSL/TLS para comunicarse con los recursos de AWS. Nosotros recomendamos TLS 1.2.
+ Configure la API y el registro de actividad del usuario con AWS CloudTrail.
+ Utilice las soluciones de cifrado de AWS, junto con todos los controles de seguridad predeterminados dentro de los servicios de AWS.
+ Utilice avanzados servicios de seguridad administrados, como Amazon Macie, que lo ayuden a detectar y proteger los datos personales almacenados en Amazon S3.
+ Si necesita módulos criptográficos validados FIPS 140-2 al acceder a AWS a través de una interfaz de línea de comandos o una API, utilice un punto de conexión de FIPS. Para obtener más información sobre los puntos de enlace de FIPS disponibles, consulte [Estándar de procesIAMento de la información federal (FIPS) 140-2](https://aws.amazon.com/compliance/fips/).

Recomendamos encarecidamente que nunca introduzca información de identificación confidencial, como, por ejemplo, direcciones de email de sus clientes, en etiquetas o en los campos de formato libre, como el campo **Name (Nombre)**. No debe especificar esta información cuando trabaje con AppStream 2.0 u otros servicios de AWS a través de la consola, la API, la AWS CLI o SDK de AWS. Los datos que ingresa en etiquetas o campos de formato libre utilizados para los nombres se pueden utilizar para los registros de facturación o diagnóstico. Si proporciona una URL a un servidor externo, le recomendamos encarecidamente que no incluya información de credenciales en la URL para validar la solicitud para ese servidor.

**Topics**
+ [Cifrado en reposo](encryption-rest.md)
+ [Cifrado en tránsito](encryption-transit.md)
+ [Controles de administrador](administrator-controls.md)
+ [Acceso de aplicaciones](application-access.md)

# Cifrado en reposo
<a name="encryption-rest"></a>

Las instancias de flota de AppStream 2.0 son de naturaleza efímera. Una vez finalizada la sesión de streaming de un usuario, termina la instancia subyacente y su volumen asociado de Amazon Elastic Block Store (Amazon EBS). Además, AppStream 2.0 recicla periódicamente las instancias no utilizadas.

Cuando habilita la [persistencia de configuración de la aplicación](how-it-works-app-settings-persistence.md), las [carpetas de inicio](home-folders-admin.md), los [scripts de sesión](enable-S3-bucket-storage-session-script-logs.md) o los [informes de uso](enable-usage-reports.md) para los usuarios, los datos generados por los usuarios y almacenados en buckets de Amazon Simple Storage Service se cifran en reposo. AWS Key Management Service es un servicio que combina hardware y software seguros y de alta disponibilidad para proporcionar un sistema de administración de claves escalado para la nube. Amazon S3 usa [CMK administradas por AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk) para cifrar sus datos de objetos de Amazon S3.

# Cifrado en tránsito
<a name="encryption-transit"></a>

En la siguiente tabla se proporciona información sobre cómo se cifran los datos en tránsito. Si corresponde, también se enumeran otros métodos de protección de datos para AppStream 2.0.


| Datos | Ruta de acceso a la red | Cómo se protege | 
| --- | --- | --- | 
|  Activos web Este tráfico incluye activos como imágenes y archivos JavaScript.  |  Entre los usuarios de AppStream 2.0 y AppStream 2.0  | Cifrado mediante TLS 1.2 | 
| Pixel y tráfico de streaming relacionado | Entre los usuarios de AppStream 2.0 y AppStream 2.0 |  Cifrado mediante el estándar de cifrado avanzado de 256 bits (AES-256) Transportados con TLS 1.2  | 
| Tráfico de API | Entre los usuarios de AppStream 2.0 y AppStream 2.0 |  Cifrado mediante TLS 1.2 Las solicitudes para crear una conexión se firman mediante Sigv4  | 
| Configuración de la aplicación y datos de la carpeta de inicio generados por los usuarios Aplicable cuando la persistencia de configuración de la aplicación y las carpetas de inicio están habilitadas.  | Entre los usuarios de AppStream 2.0 y Amazon S3 | Cifrado mediante puntos de conexión SSL de Amazon S3 | 
| Tráfico administrado por AppStream 2.0 |  Entre instancias de streaming de AppStream 2.0 y: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/appstream2/latest/developerguide/encryption-transit.html)  | Cifrado mediante TLS 1.2 Las solicitudes para crear una conexión se firman mediante Sigv4 si corresponde | 

# Controles de administrador
<a name="administrator-controls"></a>

AppStream 2.0 proporciona controles administrativos que puede utilizar para limitar las formas en que los usuarios pueden transferir datos entre su equipo local y una instancia de flota de AppStream 2.0. Puede limitar o deshabilitar lo siguiente al [crear o actualizar una pila de AppStream 2.0](set-up-stacks-fleets-install.md):
+ Acciones del portapapeles y de copiar y pegar
+ Cargar y descargar archivos, incluida la redirección de carpetas y unidades
+ Imprimir

Al crear una imagen de AppStream 2.0, puede especificar qué dispositivos USB están disponibles para redirigir a instancias de flota de AppStream 2.0 desde el cliente de AppStream 2.0 para Windows. Los dispositivos USB que especifique estarán disponibles para su uso durante las sesiones de streaming de los usuarios de AppStream 2.0. Para obtener más información, consulte [Cualificación de dispositivos USB para utilizarlos con aplicaciones de streaming](qualify-usb-devices.md).

# Acceso de aplicaciones
<a name="application-access"></a>

De forma predeterminada, AppStream 2.0 permite que las aplicaciones que especifique en la imagen lancen otras aplicaciones y archivos ejecutables en el compilador de imágenes y la instancia de flota. Esto garantiza que las aplicaciones con dependencias en otras aplicaciones (por ejemplo, una aplicación que lanza el navegador para navegar al sitio web de un producto) funcionen como se esperaba. Asegúrese de configurar los controles administrativos, los grupos de seguridad y otro software de seguridad para conceder a los usuarios los permisos mínimos necesarios para acceder a los recursos y transferir datos entre sus equipos locales y las instancias de flota.

Puede utilizar software de control de aplicaciones, como [Microsoft AppLocker](https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/applocker/applocker-overview) y políticas para controlar qué aplicaciones y archivos pueden ejecutar los usuarios. El software y las políticas de control de aplicaciones le ayudan a controlar los archivos ejecutables, los scripts, los archivos del instalador de Windows, las bibliotecas de enlaces dinámicos y los paquetes de aplicaciones que los usuarios pueden ejecutar en los compiladores de imágenes de AppStream 2.0 y las instancias de flotas.

**nota**  
El software del agente de AppStream 2.0 se basa en el símbolo del sistema de Windows y en Windows Powershell para aprovisionar instancias de streaming. Si elige impedir que los usuarios lancen el símbolo del sistema de Windows o Windows Powershell, las políticas no deben aplicarse a Windows NT AUTHORITY\$1SYSTEM ni a los usuarios del grupo administradores.


| Tipo de regla | Acción | Usuario o grupo de Windows | Nombre/Ruta | Condición | Descripción | 
| --- | --- | --- | --- | --- | --- | 
| Ejecutable | Permitir | NT AUTHORITY\$1System | \$1 | Ruta | Necesario para el software del agente de AppStream 2.0 | 
| Ejecutable | Permitir | BUILTIN\$1Administrators | \$1 | Ruta | Necesario para el software del agente de AppStream 2.0 | 
| Ejecutable | Permitir | A todos | %PROGRAMFILES%\$1nodejs\$1\$1 | Ruta | Necesario para el software del agente de AppStream 2.0 | 
| Ejecutable | Permitir | A todos | %PROGRAMFILES%\$1NICE\$1\$1 | Ruta | Necesario para el software del agente de AppStream 2.0 | 
| Ejecutable | Permitir | A todos | %PROGRAMFILES%\$1Amazon\$1\$1 | Ruta | Necesario para el software del agente de AppStream 2.0 | 
| Ejecutable | Permitir | A todos | %PROGRAMFILES%\$1<navegador-predeterminado>\$1\$1 | Ruta | Necesario para el software del agente de AppStream 2.0 cuando se utilizan soluciones de almacenamiento persistentes, como Google Drive o Microsoft OneDrive para la Empresa. Esta excepción no es necesaria cuando se utilizan carpetas de inicio de AppStream 2.0. | 

# Identity and Access Management para WorkSpaces aplicaciones de Amazon
<a name="controlling-access"></a>

Sus credenciales de seguridad lo identifican ante los servicios AWS y le permiten un uso ilimitado de sus AWS recursos, como los recursos de sus WorkSpaces aplicaciones. Puede utilizar las funciones de WorkSpaces las aplicaciones y AWS Identity and Access Management (IAM) para permitir que otros usuarios, servicios y aplicaciones utilicen los recursos de sus WorkSpaces aplicaciones sin compartir sus credenciales de seguridad. 

Puede utilizar IAM para controlar la forma en que otros usuarios utilizan los recursos de su cuenta de Amazon Web Services y puede utilizar grupos de seguridad para controlar el acceso a las instancias de streaming de sus WorkSpaces aplicaciones. Puede permitir el uso total o limitado de los recursos de sus WorkSpaces aplicaciones. 

**Topics**
+ [Acceso de red a la instancia de streaming](network-access-to-streaming-instances.md)
+ [Uso de políticas AWS administradas y funciones vinculadas para administrar el acceso de los administradores a WorkSpaces las aplicaciones y los recursos](controlling-administrator-access-with-policies-roles.md)
+ [Uso de políticas de IAM para administrar el acceso de los administradores al Auto Scaling de aplicaciones](autoscaling-iam-policy.md)
+ [Uso de las políticas de IAM para administrar el acceso de administrador al bucket de Amazon S3 para las carpetas de inicio y persistencia de configuración de la aplicación](s3-iam-policy.md)
+ [Uso de una función de IAM para conceder permisos a las aplicaciones y scripts que se ejecutan en las instancias de streaming de aplicaciones WorkSpaces](using-iam-roles-to-grant-permissions-to-applications-scripts-streaming-instances.md)
+ [SELinux en Red Hat Enterprise Linux y Rocky Linux](selinux.md)
+ [Autenticación basada en cookies en aplicaciones de Amazon WorkSpaces](cookie-auth.md)

# Acceso de red a la instancia de streaming
<a name="network-access-to-streaming-instances"></a>

Un grupo de seguridad funciona como un firewall con estado que controla qué tráfico puede llegar a las instancias de streaming. Al lanzar una instancia de streaming de WorkSpaces aplicaciones, asígnela a uno o más grupos de seguridad. A continuación, agregue reglas a cada grupo de seguridad que controla el tráfico de la instancia. Puede modificar las reglas de un grupo de seguridad en cualquier momento. Las nuevas reglas se aplican automáticamente a todas las instancias a las que está asignado el grupo de seguridad. 

Para obtener más información, consulte [Grupos de seguridad en Amazon WorkSpaces Applications](managing-network-security-groups.md).

# Uso de políticas AWS administradas y funciones vinculadas para administrar el acceso de los administradores a WorkSpaces las aplicaciones y los recursos
<a name="controlling-administrator-access-with-policies-roles"></a>

De forma predeterminada, los usuarios de IAM no tienen los permisos necesarios para crear o modificar los recursos de WorkSpaces las aplicaciones ni para realizar tareas mediante la API de WorkSpaces aplicaciones. Esto significa que estos usuarios no pueden realizar estas acciones en la consola de WorkSpaces aplicaciones ni mediante los comandos AWS CLI de WorkSpaces aplicaciones. Para permitir a los usuarios de IAM crear o modificar recursos y realizar tareas, asocie una política de IAM a los usuarios o grupos de IAM que requieren esos permisos. 

Cuando se asocia una política a un usuario, grupo de usuarios o rol de IAM, les otorga o deniega el permiso para realizar las tareas especificadas en los recursos indicados. 

**Topics**
+ [AWS Se requieren políticas administradas para acceder a los recursos de WorkSpaces las aplicaciones](managed-policies-required-to-access-appstream-resources.md)
+ [Funciones necesarias para WorkSpaces Applications, Application Auto Scaling y AWS Certificate Manager Private CA](roles-required-for-appstream.md)
+ [Comprobar la función y las políticas del AmazonAppStreamServiceAccess servicio](controlling-access-checking-for-iam-service-access.md)
+ [Comprobación de la existencia del rol de servicio ApplicationAutoScalingForAmazonAppStreamAccess y sus políticas](controlling-access-checking-for-iam-autoscaling.md)
+ [Comprobación de la existencia del rol vinculado a servicios `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` y sus políticas](controlling-access-checking-for-iam-service-linked-role-application-autoscaling-appstream-fleet.md)
+ [Comprobación del rol y las políticas del AmazonAppStream PCAAccess servicio](controlling-access-checking-for-AppStreamPCAAccess.md)

# AWS Se requieren políticas administradas para acceder a los recursos de WorkSpaces las aplicaciones
<a name="managed-policies-required-to-access-appstream-resources"></a>

Para proporcionar acceso administrativo completo o de solo lectura a WorkSpaces las aplicaciones, debe adjuntar una de las siguientes políticas AWS administradas a los usuarios o grupos de IAM que requieran esos permisos. Una *política administrada por AWS * es una política independiente creada y administrada por AWS. Para más información, consulte[ Políticas administradas de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.

**nota**  
En AWS, las funciones de IAM se utilizan para conceder permisos a un AWS servicio para que pueda acceder a los recursos. AWS Las políticas asociadas a la función determinan a qué AWS recursos puede acceder el servicio y qué puede hacer con esos recursos. En el caso de WorkSpaces las aplicaciones, además de tener los permisos definidos en la **AmazonAppStreamFullAccess**política, también debe tener las funciones necesarias en su AWS cuenta. Para obtener más información, consulte [Funciones necesarias para WorkSpaces Applications, Application Auto Scaling y AWS Certificate Manager Private CA](roles-required-for-appstream.md).

**AmazonAppStreamFullAccess**  
Esta política gestionada proporciona acceso administrativo completo a los recursos de WorkSpaces las aplicaciones. Para administrar los recursos de WorkSpaces las aplicaciones y realizar acciones de API a través de la interfaz de línea de AWS comandos (AWS CLI), el AWS SDK o la consola de AWS administración, debe tener los permisos definidos en esta política.  
Si inicia sesión en la consola de WorkSpaces aplicaciones como usuario de IAM, debe adjuntar esta política a la suya Cuenta de AWS. Si inicia sesión a través de la federación de consolas, debe asociar esta política al rol de IAM que se ha utilizado para la federación.  
Para ver los permisos de esta política, consulte [AmazonAppStreamFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamFullAccess.html).

**AmazonAppStreamReadOnlyAccess**  
Esta política basada en la identidad otorga a los usuarios permisos de solo lectura para ver y monitorear los recursos de WorkSpaces las aplicaciones y las configuraciones de los servicios relacionados. Los usuarios pueden acceder a la consola de WorkSpaces aplicaciones para ver las aplicaciones de streaming, el estado de la flota, los informes de uso y los recursos asociados, pero no pueden realizar ningún cambio. La política también incluye los permisos de lectura necesarios para respaldar servicios como IAM y Application Auto Scaling, y CloudWatch para habilitar capacidades integrales de monitoreo e informes.  
Para ver los permisos de esta política, consulte [AmazonAppStreamReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamReadOnlyAccess.html).

La consola de WorkSpaces aplicaciones utiliza una acción adicional que proporciona una funcionalidad que no está disponible a través de la AWS CLI o el AWS SDK. **AmazonAppStreamFullAccess**Tanto **AmazonAppStreamReadOnlyAccess**las políticas como las políticas proporcionan permisos para la siguiente acción.


| Action | Description (Descripción) | Nivel de acceso | 
| --- | --- | --- | 
| DescribeImageBuilders | Otorga permiso para recuperar una lista que describe uno o más constructores de imágenes especificados, si se proporcionan los nombres de los constructores. De lo contrario, se describen todos los constructores de imágenes de la cuenta. | Lectura | 

**AmazonAppStreamPCAAccess**  
Esta política administrada proporciona acceso administrativo completo a los recursos de CA Private de AWS Certificate Manager de su AWS cuenta para la autenticación basada en certificados.  
Para ver los permisos de esta política, consulte. [AmazonAppStreamPCAAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamPCAAccess.html)

**AmazonAppStreamServiceAccess**  
Esta política administrada es la política predeterminada para la función de servicio de WorkSpaces aplicaciones.   
Esta política de permisos de roles permite a WorkSpaces las aplicaciones realizar las siguientes acciones:  
+ Al usar subredes en su cuenta para sus flotas de WorkSpaces WorkSpaces aplicaciones, Applications puede describir las subredes y las zonas de disponibilidad VPCs, así como crear y administrar el ciclo de vida de todas las interfaces de red elásticas asociadas a las instancias de la flota en esas subredes. Esto también incluye la posibilidad de asociar grupos de seguridad y direcciones IP desde esas subredes a esas interfaces de red elásticas.
+ Al utilizar funciones como UPP y HomeFolders, WorkSpaces Applications puede crear y gestionar buckets y objetos de Amazon S3 y sus ciclos de vida, políticas y configuración de cifrado en la cuenta. Estos buckets incluyen los siguientes prefijos de nomenclatura:
  + `"arn:aws:s3:::appstream2-36fb080bb8-",`
  + `"arn:aws:s3:::appstream-app-settings-",`
  + `"arn:aws:s3:::appstream-logs-"`
Para ver los permisos de esta política, consulte. [AmazonAppStreamServiceAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamServiceAccess.html)

**ApplicationAutoScalingForAmazonAppStreamAccess**  
Esta política gestionada permite el escalado automático de las WorkSpaces aplicaciones.  
Para ver los permisos de esta política, consulte [ApplicationAutoScalingForAmazonAppStreamAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ApplicationAutoScalingForAmazonAppStreamAccess.html).

**AWSApplicationAutoscalingAppStreamFleetPolicy**  
Esta política administrada otorga permisos para que Application Auto Scaling acceda a WorkSpaces las aplicaciones y CloudWatch .  
Para ver los permisos de esta política, consulte [AWSApplicationAutoscalingAppStreamFleetPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSApplicationAutoscalingAppStreamFleetPolicy.html).

## WorkSpaces Actualizaciones de las aplicaciones a las políticas AWS gestionadas
<a name="security-iam-awsmanpol-updates"></a>



Consulte los detalles sobre las actualizaciones de las políticas AWS administradas para WorkSpaces las aplicaciones desde que este servicio comenzó a rastrear estos cambios. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en la página de [Historial de documentos para WorkSpaces aplicaciones de Amazon](doc-history.md).




| Cambio | Descripción | Fecha | 
| --- | --- | --- | 
|  AmazonAppStreamServiceAccess — Cambiar  |   Se agregó la autorización de permisos `"ec2:DescribeImages"` a la política (documento de política JSON)  | 17 de noviembre de 2025 | 
|  AmazonAppStreamReadOnlyAccess — Cambio  |   Se ha eliminado `"appstream:Get*",` del documento de política de JSON  | 22 de octubre de 2025 | 
|  WorkSpaces Las aplicaciones comenzaron a rastrear los cambios  |  WorkSpaces Las aplicaciones empezaron a rastrear los cambios de sus políticas AWS gestionadas  | 31 de octubre de 2022 | 

# Funciones necesarias para WorkSpaces Applications, Application Auto Scaling y AWS Certificate Manager Private CA
<a name="roles-required-for-appstream"></a>

En AWS, las funciones de IAM se utilizan para conceder permisos a un AWS servicio para que pueda acceder a AWS los recursos. Las políticas asociadas a la función determinan a qué AWS recursos puede acceder el servicio y qué puede hacer con esos recursos. En el caso de WorkSpaces las aplicaciones, además de tener los permisos definidos en la **AmazonAppStreamFullAccess**política, también debe tener las siguientes funciones en su AWS cuenta.

**Topics**
+ [AmazonAppStreamServiceAccess](#AmazonAppStreamServiceAccess)
+ [ApplicationAutoScalingForAmazonAppStreamAccess](#ApplicationAutoScalingForAmazonAppStreamAccess)
+ [AWSServiceRoleForApplicationAutoScaling\$1AppStreamFleet](#AWSServiceRoleForApplicationAutoScaling_AppStreamFleet)
+ [AmazonAppStreamPCAAccess](#AppStreamPCAAccess)

## AmazonAppStreamServiceAccess
<a name="AmazonAppStreamServiceAccess"></a>

Esta función es una función de servicio que se crea automáticamente al empezar a utilizar WorkSpaces las aplicaciones de una AWS región. Para obtener más información sobre las funciones de servicios, consulte [Crear una función para delegar permisos a un AWS servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) en la *Guía del usuario de IAM*.

Mientras se crean los recursos de WorkSpaces aplicaciones, el servicio de WorkSpaces aplicaciones realiza llamadas a la API a otros AWS servicios en su nombre al asumir esta función. Para crear flotas, debe tener este rol en su cuenta. Si esta función no está en su AWS cuenta y no están adjuntas las políticas de relaciones de confianza y los permisos de IAM necesarios, no podrá crear flotas de WorkSpaces aplicaciones.

Para obtener más información, consulte [Comprobar la función y las políticas del AmazonAppStreamServiceAccess servicio](controlling-access-checking-for-iam-service-access.md) para comprobar si el rol de **AmazonAppStreamServiceAccess**servicio está presente y tiene adjuntas las políticas correctas. 

**nota**  
Este rol de servicio puede tener permisos diferentes a los del primer usuario que comienza a usar las WorkSpaces aplicaciones. Para obtener más información sobre los permisos de este rol, consulte «AmazonAppStreamServiceAccess» en[AWS Se requieren políticas administradas para acceder a los recursos de WorkSpaces las aplicaciones](managed-policies-required-to-access-appstream-resources.md).

## ApplicationAutoScalingForAmazonAppStreamAccess
<a name="ApplicationAutoScalingForAmazonAppStreamAccess"></a>

Esta función es una función de servicio que se crea automáticamente al empezar a utilizar WorkSpaces las aplicaciones de una AWS región. Para obtener más información sobre las funciones de servicios, consulte [Crear una función para delegar permisos a un AWS servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) en la *Guía del usuario de IAM*.

El escalado automático es una función de WorkSpaces las flotas de aplicaciones. Para configurar las políticas de escalado, debe tener este rol de servicio en su AWS cuenta. Si esta función de servicio no está en su AWS cuenta y no están asociadas las políticas de relaciones de confianza y los permisos de IAM necesarios, no podrá escalar WorkSpaces las flotas de aplicaciones.

Para obtener más información, consulte [Comprobación de la existencia del rol de servicio ApplicationAutoScalingForAmazonAppStreamAccess y sus políticas](controlling-access-checking-for-iam-autoscaling.md).

## AWSServiceRoleForApplicationAutoScaling\$1AppStreamFleet
<a name="AWSServiceRoleForApplicationAutoScaling_AppStreamFleet"></a>

Este rol es un rol vinculado a servicios que se crea automáticamente en su nombre. Para obtener más información, consulte [Roles vinculados a servicios](https://docs.aws.amazon.com/autoscaling/application/userguide/application-auto-scaling-service-linked-roles.html) en la *Guía del usuario de Auto Scaling de aplicaciones*.

El Auto Scaling de aplicaciones utiliza un rol vinculado a servicios para realizar el escalado automático en su nombre. Un *rol vinculado a un servicio es un rol* de IAM que está vinculado directamente a un servicio. AWS Esta función incluye todos los permisos que el servicio necesita para llamar a otros AWS servicios en su nombre.

Para obtener más información, consulte [Comprobación de la existencia del rol vinculado a servicios `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` y sus políticas](controlling-access-checking-for-iam-service-linked-role-application-autoscaling-appstream-fleet.md).

## AmazonAppStreamPCAAccess
<a name="AppStreamPCAAccess"></a>

Esta función es una función de servicio que se crea automáticamente al empezar a utilizar WorkSpaces las aplicaciones de una AWS región. Para obtener más información sobre las funciones de servicios, consulte [Crear una función para delegar permisos a un AWS servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) en la *Guía del usuario de IAM*.

La autenticación basada en certificados es una función de WorkSpaces las flotas de aplicaciones unidas a los dominios de Microsoft Active Directory. Para habilitar y usar la autenticación basada en certificados, debe tener este rol de servicio en su cuenta. AWS Si esta función de servicio no está en su AWS cuenta y no están adjuntas las políticas de relaciones de confianza y los permisos de IAM necesarios, no podrá habilitar ni utilizar la autenticación basada en certificados.

Para obtener más información, consulte [Comprobación del rol y las políticas del AmazonAppStream PCAAccess servicio](controlling-access-checking-for-AppStreamPCAAccess.md).

# Comprobar la función y las políticas del AmazonAppStreamServiceAccess servicio
<a name="controlling-access-checking-for-iam-service-access"></a>

Complete los pasos de esta sección para comprobar si el rol de servicio **AmazonAppStreamServiceAccess** existe y tiene asociadas las políticas correctas. Si esta función no está en su cuenta y debe crearse, usted o un administrador con los permisos necesarios deberán realizar los pasos necesarios para empezar a utilizar WorkSpaces las aplicaciones de su cuenta de Amazon Web Services.

**Para comprobar si el rol de servicio de AmazonAppStreamServiceAccess IAM está presente**

1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Seleccione **Roles** en el panel de navegación. 

1. En el cuadro de búsqueda, escriba **amazonappstreamservice** para reducir la lista de funciones que desea seleccionar y, a continuación, elija. **AmazonAppStreamServiceAccess** Si aparece este rol, selecciónelo para ver la página **Summary (Resumen)** del rol. 

1. En la pestaña **Permisos**, confirme si la política de permisos **AmazonAppStreamServiceAccess** está asociada.

1. Vuelva a la página **Summary (Resumen)** del rol.

1. En la pestaña **Relaciones de confianza**, elija **Mostrar documento de la política** y, a continuación, confirme si la política de relación de confianza **AmazonAppStreamServiceAccess** está asociada y utiliza el formato correcto. En caso afirmativo, la relación de confianza está configurada correctamente. Elija **Cancelar** y cierre la consola de IAM. 

## AmazonAppStreamServiceAccess política de relaciones de confianza
<a name="controlling-access-service-access-trust-policy"></a>

La política de relaciones de **AmazonAppStreamServiceAccess**confianza debe incluir el servicio de WorkSpaces Aplicaciones como principal. Un *principal* es una entidad AWS que puede realizar acciones y acceder a los recursos. Esta política también debe incluir la acción `sts:AssumeRole`. La siguiente configuración de políticas define a WorkSpaces las aplicaciones como una entidad de confianza.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
      "Service": "appstream.amazonaws.com"
    },
    "Action": "sts:AssumeRole"
    }
  ]
}
```

------

# Comprobación de la existencia del rol de servicio ApplicationAutoScalingForAmazonAppStreamAccess y sus políticas
<a name="controlling-access-checking-for-iam-autoscaling"></a>

Complete los pasos de esta sección para comprobar si el rol de servicio **ApplicationAutoScalingForAmazonAppStreamAccess** existe y tiene asociadas las políticas correctas. Si esta función no está en su cuenta y debe crearse, usted o un administrador con los permisos necesarios deberán realizar los pasos necesarios para empezar a utilizar WorkSpaces las aplicaciones de su cuenta de Amazon Web Services.

**Para comprobar si existe el rol de servicio de IAM ApplicationAutoScalingForAmazonAppStreamAccess**

1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Seleccione **Roles** en el panel de navegación. 

1. En el cuadro de búsqueda, escriba **applicationautoscaling** para reducir la lista de roles que aparecen y elija **ApplicationAutoScalingForAmazonAppStreamAccess**. Si aparece este rol, selecciónelo para ver la página **Summary (Resumen)** del rol. 

1. En la pestaña **Permisos**, confirme si la política de permisos **ApplicationAutoScalingForAmazonAppStreamAccess** está asociada. 

1. Vuelva a la página **Summary (Resumen)** del rol.

1. En la pestaña **Relaciones de confianza**, elija **Mostrar documento de la política** y, a continuación, confirme si la política de relación de confianza **ApplicationAutoScalingForAmazonAppStreamAccess** está asociada y utiliza el formato correcto. En caso afirmativo, la relación de confianza está configurada correctamente. Elija **Cancelar** y cierre la consola de IAM. 

## Política de relación de confianza ApplicationAutoScalingForAmazonAppStreamAccess
<a name="controlling-access-autoscaling-trust-policy"></a>

La política de relación de confianza **ApplicationAutoScalingForAmazonAppStreamAccess** debe incluir el servicio de Auto Scaling de aplicaciones como entidad principal. Esta política también debe incluir la acción `sts:AssumeRole`. La siguiente configuración de política define Auto Scaling de aplicaciones como una entidad de confianza.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "application-autoscaling.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

------

# Comprobación de la existencia del rol vinculado a servicios `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` y sus políticas
<a name="controlling-access-checking-for-iam-service-linked-role-application-autoscaling-appstream-fleet"></a>

Complete los pasos de esta sección para comprobar si el rol vinculado a servicios `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` existe y tiene asociadas las políticas correctas. Si esta función no está en su cuenta y debe crearse, usted o un administrador con los permisos necesarios deberán realizar los pasos necesarios para empezar a utilizar WorkSpaces las aplicaciones de su cuenta de Amazon Web Services.

**Para comprobar si existe el rol vinculado a servicios de IAM `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet`**

1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Seleccione **Roles** en el panel de navegación. 

1. En el cuadro de búsqueda, escriba **applicationautoscaling** para reducir la lista de roles que aparecen y elija `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet`. Si aparece este rol, selecciónelo para ver la página **Summary (Resumen)** del rol. 

1. En la pestaña **Permisos**, confirme si la política de permisos `AWSApplicationAutoscalingAppStreamFleetPolicy` está asociada.

1. Vuelva a la página de resumen del **Role (Rol)**.

1. En la pestaña **Relaciones de confianza**, elija **Mostrar documento de la política** y, a continuación, confirme si la política de relación de confianza `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` está asociada y utiliza el formato correcto. En caso afirmativo, la relación de confianza está configurada correctamente. Elija **Cancelar** y cierre la consola de IAM. 

## AWSServiceRoleForApplicationAutoScaling\$1AppStreamFleet política de relaciones de confianza
<a name="controlling-access-application-autoscaling-appstream-fleet-trust-policy"></a>

La política de relación de confianza `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` debe incluir **appstream.application-autoscaling.amazonaws.com** como entidad principal. Esta política también debe incluir la acción `sts:AssumeRole`. La siguiente configuración de políticas define **appstream.application-autoscaling.amazonaws.com** como una entidad de confianza.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "appstream.application-autoscaling.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

------

# Comprobación del rol y las políticas del AmazonAppStream PCAAccess servicio
<a name="controlling-access-checking-for-AppStreamPCAAccess"></a>

Complete los pasos de esta sección para comprobar si el rol de servicio **AmazonAppStreamPCAAccess** existe y tiene asociadas las políticas correctas. Si esta función no está en su cuenta y debe crearse, usted o un administrador con los permisos necesarios deberán realizar los pasos necesarios para empezar a utilizar WorkSpaces las aplicaciones de su cuenta de Amazon Web Services.

**Para comprobar si el rol de servicio de AmazonAppStream PCAAccess IAM está presente**

1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Seleccione **Roles** en el panel de navegación. 

1. En el cuadro de búsqueda, escriba **appstreampca** para reducir la lista de funciones que desea seleccionar y, a continuación, elija. **AmazonAppStreamPCAAccess** Si aparece este rol, selecciónelo para ver la página **Summary (Resumen)** del rol. 

1. En la pestaña **Permisos**, confirme si la política de permisos **AmazonAppStreamPCAAccess ** está asociada.

1. Vuelva a la página de resumen del **Role (Rol)**.

1. En la pestaña **Relaciones de confianza**, elija **Mostrar documento de la política** y, a continuación, confirme si la política de relación de confianza **AmazonAppStreamPCAAccess ** está asociada y utiliza el formato correcto. En caso afirmativo, la relación de confianza está configurada correctamente. Elija **Cancelar** y cierre la consola de IAM. 

## AmazonAppStreamPCAAccess política de relaciones de confianza
<a name="controlling-access-amazonappstreampcaaccess-trust-policy"></a>

La política de relaciones de **AmazonAppStreamPCAAccess**confianza debe incluir prod.euc.ecm.amazonaws.com como principal. Esta política también debe incluir la acción `sts:AssumeRole`. La siguiente configuración de política define ECM como una entidad de confianza.

**Para crear la política de relación de AmazonAppStream PCAAccess confianza mediante la AWS CLI**

1. Cree un archivo JSON llamado `AmazonAppStreamPCAAccess.json` con el siguiente texto.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "Service": [
                       "prod.euc.ecm.amazonaws.com"
                   ]
               },
               "Action": "sts:AssumeRole",
               "Condition": {}
           }
       ]
   }
   ```

------

1. Ajuste la `AmazonAppStreamPCAAccess.json` ruta según sea necesario y ejecute los siguientes comandos de AWS CLI para crear la política de relación de confianza y adjuntar la política AmazonAppStream PCAAccess administrada. Para obtener más información sobre la política administrada, consulte [AWS Se requieren políticas administradas para acceder a los recursos de WorkSpaces las aplicaciones](managed-policies-required-to-access-appstream-resources.md).

   ```
   aws iam create-role --path /service-role/ --role-name AmazonAppStreamPCAAccess --assume-role-policy-document file://AmazonAppStreamPCAAccess.json
   ```

   ```
   aws iam attach-role-policy —role-name AmazonAppStreamPCAAccess —policy-arn arn:aws:iam::aws:policy/AmazonAppStreamPCAAccess
   ```

# Uso de políticas de IAM para administrar el acceso de los administradores al Auto Scaling de aplicaciones
<a name="autoscaling-iam-policy"></a>

El escalado automático de flotas es posible gracias a una combinación de WorkSpaces Applications CloudWatch, Amazon y Application Auto Scaling APIs. WorkSpaces Las flotas de aplicaciones se crean con WorkSpaces Applications, las alarmas se crean con CloudWatch Application Auto Scaling y las políticas de escalado se crean con Application Auto Scaling.

Además de tener los permisos definidos en la [AmazonAppStreamFullAccess](managed-policies-required-to-access-appstream-resources.md)política, el usuario de IAM que accede a la configuración de escalado de flotas debe tener los permisos necesarios para los servicios que admiten el escalado dinámico. Los usuarios de IAM deben contar con los permisos necesarios para utilizar las acciones que se muestran en la siguiente política de ejemplo. 

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
          "appstream:*",
          "application-autoscaling:*",
          "cloudwatch:DeleteAlarms",
          "cloudwatch:DescribeAlarmsForMetric",
          "cloudwatch:DisableAlarmActions",
          "cloudwatch:DescribeAlarms",
          "cloudwatch:EnableAlarmActions",
          "cloudwatch:ListMetrics",
          "cloudwatch:PutMetricAlarm",
          "iam:ListRoles"
      ],
      "Resource": "*"
    },
    {
      "Sid": "iamPassRole",
      "Effect": "Allow",
      "Action": [
          "iam:PassRole"
      ],
      "Resource": "*",
      "Condition": {
         "StringEquals": {
             "iam:PassedToService": "application-autoscaling.amazonaws.com"
          }
      }
    }
  ]
}
```

------

También puede crear sus propias políticas de IAM para establecer más permisos específicos para las llamadas a la API del Auto Scaling de aplicaciones. Para obtener más información, consulte [Autenticación y control de acceso](https://docs.aws.amazon.com/autoscaling/application/userguide/auth-and-access-control.html) en la *Guía del usuario de Auto Scaling de aplicaciones*.

# Uso de las políticas de IAM para administrar el acceso de administrador al bucket de Amazon S3 para las carpetas de inicio y persistencia de configuración de la aplicación
<a name="s3-iam-policy"></a>

En los siguientes ejemplos, se muestra cómo puede utilizar las políticas de IAM para administrar el acceso al bucket de Amazon S3 para las carpetas de inicio y persistencia de configuración de la aplicación.

**Topics**
+ [Eliminación del bucket de Amazon S3 para carpetas de inicio y persistencia de configuración de la aplicación](s3-iam-policy-delete.md)
+ [Restricción de acceso del administrador al bucket de Amazon S3 para las carpetas de inicio y persistencia de configuración de la aplicación](s3-iam-policy-restricted-access.md)

# Eliminación del bucket de Amazon S3 para carpetas de inicio y persistencia de configuración de la aplicación
<a name="s3-iam-policy-delete"></a>

WorkSpaces Applications añade una política de bucket de Amazon S3 a los buckets que crea para evitar que se eliminen accidentalmente. Para eliminar un bucket de S3, primero debe eliminar la política del bucket de S3. A continuación, se muestran las políticas de bucket que debe eliminar para las carpetas de inicio y la persistencia de configuración de la aplicación.

**Política de carpetas de inicio**

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "PreventAccidentalDeletionOfBucket",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:DeleteBucket",
      "Resource": "arn:aws:s3:::appstream2-36fb080bb8-region-code-123456789012-without-hyphens"
    }
  ]
}
```

------

**Política de persistencia de configuración de la aplicación**

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "PreventAccidentalDeletionOfBucket",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:DeleteBucket",
      "Resource": "arn:aws:s3:::appstream-app-settings-region-code-123456789012-without-hyphens-unique-identifier"
     }
   ]
}
```

------

 Para obtener más información, consulte [Eliminar o vaciar un bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/delete-or-empty-bucket.html) en la *Guía del usuario de Amazon Simple Storage Service*.

# Restricción de acceso del administrador al bucket de Amazon S3 para las carpetas de inicio y persistencia de configuración de la aplicación
<a name="s3-iam-policy-restricted-access"></a>

De forma predeterminada, los administradores que pueden acceder a los buckets de Amazon S3 creados por WorkSpaces las aplicaciones pueden ver y modificar el contenido que forma parte de las carpetas de inicio de los usuarios y de la configuración persistente de las aplicaciones. Para restringir el acceso de administrador a los bucket de S3 que contienen los archivos de usuario, recomendamos aplicar la política de acceso del bucket de S3 basada en la siguiente plantilla: 

```
{
  "Sid": "RestrictedAccess",
  "Effect": "Deny",
  "NotPrincipal": 
  {
    "AWS": [
      "arn:aws:iam::account:role/service-role/AmazonAppStreamServiceAccess",
      "arn:aws:sts::account:assumed-role/AmazonAppStreamServiceAccess/PhotonSession",
      "arn:aws:iam::account:user/IAM-user-name"
    ]
  },
    "Action": "s3:*",
    "Resource": "arn:aws:s3:::home-folder-or-application-settings-persistence-s3-bucket-region-account"
  }
 ]
}
```

Esta política permite el acceso al bucket de S3 solo a los usuarios especificados y al servicio de WorkSpaces aplicaciones. Para cada usuario de IAM que necesite acceso, repita la siguiente línea:

```
"arn:aws:iam::account:user/IAM-user-name"
```

En el ejemplo siguiente, la política limita el acceso al bucket de S3 de la carpeta de inicio a cualquier otro usuario de IAM que no sea marymajor y johnstiles. También permite el acceso al servicio de WorkSpaces aplicaciones, en la AWS región EE.UU. Oeste (Oregón) con el ID de cuenta 123456789012.

```
{
  "Sid": "RestrictedAccess",
  "Effect": "Deny",
  "NotPrincipal": 
  {
    "AWS": [
      "arn:aws:iam::123456789012:role/service-role/AmazonAppStreamServiceAccess",
      "arn:aws:sts::123456789012:assumed-role/AmazonAppStreamServiceAccess/PhotonSession",
      "arn:aws:iam::123456789012:user/marymajor",
      "arn:aws:iam::123456789012:user/johnstiles"
    ]
  },
    "Action": "s3:*",
    "Resource": "arn:aws:s3:::appstream2-36fb080bb8-us-west-2-123456789012"
  }
 ]
}
```

# Uso de una función de IAM para conceder permisos a las aplicaciones y scripts que se ejecutan en las instancias de streaming de aplicaciones WorkSpaces
<a name="using-iam-roles-to-grant-permissions-to-applications-scripts-streaming-instances"></a>

Las aplicaciones y los scripts que se ejecutan en WorkSpaces las instancias de streaming de Applications deben incluir AWS credenciales en sus solicitudes de AWS API. Puede crear un rol de IAM para administrar estas credenciales. Un rol de IAM especifica un conjunto de permisos que puedes usar para acceder a AWS los recursos. Sin embargo, este rol no se asocia de manera exclusiva a una persona. En su lugar, puede asumirlo cualquier usuario que lo necesite.

Puede aplicar un rol de IAM a una instancia de streaming de WorkSpaces aplicaciones. Cuando la instancia de streaming cambia al rol (lo asume), el rol proporciona credenciales de seguridad temporales. La aplicación o los scripts utilizan estas credenciales para realizar acciones de API y tareas de administración en la instancia de streaming. WorkSpaces Applications gestiona el cambio de credenciales temporal por usted.

**Topics**
+ [Mejores prácticas para usar las funciones de IAM con WorkSpaces las instancias de streaming de aplicaciones](best-practices-for-using-iam-role-with-streaming-instances.md)
+ [Configuración de una función de IAM existente para usarla con WorkSpaces aplicaciones e instancias de streaming](configuring-existing-iam-role-to-use-with-streaming-instances.md)
+ [Cómo crear un rol de IAM para usarlo con WorkSpaces aplicaciones e instancias de streaming](how-to-create-iam-role-to-use-with-streaming-instances.md)
+ [Cómo utilizar el rol de IAM con WorkSpaces las instancias de streaming de aplicaciones](how-to-use-iam-role-with-streaming-instances.md)

# Mejores prácticas para usar las funciones de IAM con WorkSpaces las instancias de streaming de aplicaciones
<a name="best-practices-for-using-iam-role-with-streaming-instances"></a>

Cuando utilice funciones de IAM con instancias de streaming de WorkSpaces aplicaciones, le recomendamos que siga estas prácticas:
+ Limite los permisos que concede a las acciones y los recursos de la AWS API.

  Siga los principios de privilegios mínimos al crear y adjuntar políticas de IAM a las funciones de IAM asociadas a las instancias de streaming de WorkSpaces aplicaciones. Cuando utilices una aplicación o un script que requiera acceso a acciones o recursos de la AWS API, determina las acciones y los recursos específicos que se requieren. A continuación, cree políticas que permitan a la aplicación o al script realizar únicamente tales acciones. Para obtener más información, consulte [Concesión de mínimos privilegios](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) en la *Guía del usuario de IAM*.
+ Cree una función de IAM para cada recurso de WorkSpaces aplicaciones.

  La creación de una función de IAM única para cada recurso de WorkSpaces aplicaciones es una práctica que sigue los principios de privilegios mínimos. Esto también le permite modificar los permisos de un recurso sin que ello afecte a otros recursos.
+ Límite dónde se pueden utilizar las credenciales.

  Las políticas de IAM le permiten definir las condiciones en las que el rol de IAM se puede utilizar para acceder a un recurso. Por ejemplo, puede incluir condiciones para especificar un rango de direcciones IP desde el que pueden proceder las solicitudes. Esto impide que las credenciales se utilicen fuera de su entorno. Para obtener más información, consulte [Utilizar condiciones de política para mayor seguridad](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#use-policy-conditions) en la *Guía del usuario de IAM*.

# Configuración de una función de IAM existente para usarla con WorkSpaces aplicaciones e instancias de streaming
<a name="configuring-existing-iam-role-to-use-with-streaming-instances"></a>

En este tema, se describe cómo configurar un rol de IAM existente para utilizarlo con constructores de imágenes e instancias de streaming de flota.

**Requisitos previos**

El rol de IAM que desee utilizar con un generador de imágenes de WorkSpaces aplicaciones o una instancia de streaming de flotas debe cumplir los siguientes requisitos previos:
+ La función de IAM debe estar en la misma cuenta de Amazon Web Services que la instancia de streaming de WorkSpaces Applications.
+ El rol de IAM no puede ser un rol de servicio.
+ La política de relaciones de confianza asociada a la función de IAM debe incluir el servicio de WorkSpaces Aplicaciones como principal. Un *principal* es una entidad AWS que puede realizar acciones y acceder a los recursos. La política también debe incluir la acción `sts:AssumeRole`. Esta configuración de política define a WorkSpaces las aplicaciones como una entidad de confianza.

  
+ Si va a aplicar la función de IAM a un generador de imágenes, el creador de imágenes debe ejecutar una versión del agente de WorkSpaces aplicaciones publicada a partir del 3 de septiembre de 2019. Si va a aplicar el rol de IAM a una flota, esta debe utilizar una imagen que utilice una versión del agente publicada en la misma fecha o con posterioridad. Para obtener más información, consulte [WorkSpaces Notas de lanzamiento de Applications Agent](agent-software-versions.md). 

**Para permitir que el director del servicio de WorkSpaces aplicaciones asuma una función de IAM existente**

Para realizar los siguientes pasos, debe iniciar sesión en la cuenta como un usuario de IAM que tenga los permisos necesarios para enumerar y actualizar los roles de IAM. Si no tiene los permisos necesarios, pida al administrador de su cuenta de Amazon Web Services que realice estos pasos en su cuenta o que le conceda los permisos requeridos.

1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Seleccione **Roles** en el panel de navegación. 

1. En la lista de roles de su cuenta, elija el nombre del rol que desee modificar.

1. Elija la pestaña **Relaciones de confianza** y, a continuación, **Editar relación de confianza**.

1. En **Policy Document (Documento de política)**, compruebe que la política de relación de confianza incluya la acción `sts:AssumeRole` para la entidad principal del servicio `appstream.amazonaws.com`:

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "Service": [
             "appstream.amazonaws.com"
           ]
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   ```

------

1. Cuando haya terminado de editar la política de confianza, elija **Update Trust Policy (Actualizar política de confianza)** para guardar los cambios. 

1. La función de IAM que haya seleccionado se mostrará en la consola de WorkSpaces aplicaciones. Este rol concede permisos a las aplicaciones y los scripts para realizar acciones de la API y tareas de administración en las instancias de streaming.

# Cómo crear un rol de IAM para usarlo con WorkSpaces aplicaciones e instancias de streaming
<a name="how-to-create-iam-role-to-use-with-streaming-instances"></a>

En este tema, se describe cómo crear un rol de IAM existente para utilizarlo con constructores de imágenes e instancias de streaming de flota.

1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, seleccione **Roles** y luego seleccione **Crear rol**.

1. En **Seleccionar el tipo de entidad de confianza**, elija **Servicio de AWS **.

1. En la lista de AWS servicios, elija **WorkSpaces Aplicaciones.**

1. En **Seleccione su caso de uso**, ya está seleccionada la opción **WorkSpaces WorkSpaces Aplicaciones: permite que las instancias de aplicaciones llamen a AWS los servicios en su nombre**. Elija **Siguiente: permisos**.

1. Si es posible, seleccione la política que desea utilizar para la política de permisos o elija **Create policy (Crear política)** para abrir una pestaña nueva del navegador y crear una política nueva desde cero. Para obtener más información, consulte el paso 4 del procedimiento [Crear políticas de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start) en la *Guía del usuario de IAM*.

   Después de crear la política, cierre esa pestaña y vuelva a la pestaña original. Seleccione la casilla de verificación situada junto a las políticas de permisos que desee que tengan WorkSpaces las aplicaciones.

1. (Opcional) Configure un límite de permisos. Se trata de una característica avanzada que está disponible para los roles de servicio, pero no para los roles vinculados a servicios. Para obtener más información, consulte [Límites de permisos para las entidades de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) en la *Guía del usuario de IAM*.

1. Elija **Siguiente: etiquetas**. Opcionalmente, puede asociar etiquetas como pares de clave-valor. Para obtener más información, consulte [Etiquetado de usuarios y roles de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) en la *Guía del usuario de IAM*.

1. Elija **Siguiente: Revisar**.

1. En **Nombre de rol**, escriba un nombre de rol único en su cuenta de Amazon Web Services. Como otros AWS recursos pueden hacer referencia al rol, no puede editar el nombre del rol una vez creado.

1. En **Role description (Descripción del rol)**, conserve la descripción del rol predeterminada o escriba una nueva.

1. Revise el rol y, a continuación, elija **Crear rol**.

# Cómo utilizar el rol de IAM con WorkSpaces las instancias de streaming de aplicaciones
<a name="how-to-use-iam-role-with-streaming-instances"></a>

Después de crear un rol de IAM, puede aplicarlo en un constructor de imágenes o una instancia de streaming de flota al lanzar el constructor de imágenes o crear una flota. También puede aplicar un rol de IAM en las flotas existentes. Para obtener información acerca de cómo aplicar un rol de IAM al lanzar un constructor de imágenes, consulte [Lanzar un generador de imágenes para instalar y configurar aplicaciones de streaming](tutorial-image-builder-create.md). Para obtener información acerca de cómo aplicar un rol de IAM al crear una flota, consulte [Cree una flota en Amazon WorkSpaces Applications](set-up-stacks-fleets-create.md).

Cuando aplicas una función de IAM a tu instancia de streaming de flota o generador de imágenes, WorkSpaces Applications recupera las credenciales temporales y crea el perfil de credenciales **appstream\$1machine\$1role** en la instancia. Las credenciales temporales son válidas durante 1 hora y las nuevas credenciales se recuperan cada hora. Las credenciales anteriores no vencen, por lo que puede utilizarlas mientras sean válidas. Puede usar el perfil de credenciales para llamar a AWS los servicios mediante programación mediante la interfaz de línea de AWS comandos (AWS CLI), AWS las herramientas o el AWS SDK con el idioma que prefiera. PowerShell

Cuando realice llamadas a la API, especifique **appstream\$1machine\$1role** como el perfil de credenciales. De lo contrario, la operación falla debido a los permisos insuficientes.

WorkSpaces Las aplicaciones asumen la función especificada mientras se aprovisiona la instancia de streaming. Como WorkSpaces Applications usa la interfaz de red elástica que está conectada a la VPC para las llamadas a la AWS API, la aplicación o el script deben esperar a que la interfaz de red elástica esté disponible antes de realizar las llamadas a la AWS API. Si las llamadas a la API se realizan antes de que la interfaz de red elástica esté disponible, las llamadas fallan.

En los siguientes ejemplos, se muestra cómo puede utilizar el perfil de credenciales** appstream\$1machine\$1role** para describir las instancias de streaming (instancias EC2) y crear el cliente de Boto. Boto es el SDK de Amazon Web Services (AWS) para Python. 

**Describa las instancias de streaming (instancias EC2) mediante la CLI AWS **

```
aws ec2 describe-instances --region us-east-1 --profile appstream_machine_role
```

**Describa las instancias de streaming (instancias EC2) mediante herramientas para AWS PowerShell**

Debe usar AWS Tools para la PowerShell versión 3.3.563.1 o posterior, con el Amazon Web Services SDK para .NET versión 3.3.103.22 o posterior. Puede descargar el instalador de AWS Herramientas para Windows, que incluye AWS Herramientas para PowerShell y el SDK de Amazon Web Services para .NET, desde el PowerShell sitio web [AWS Herramientas para](https://aws.amazon.com/powershell/).

```
Get-EC2Instance -Region us-east-1 -ProfileName appstream_machine_role
```

**Creación del cliente Boto mediante el AWS SDK para Python**

```
session = boto3.Session(profile_name='appstream_machine_role')
```

# SELinux en Red Hat Enterprise Linux y Rocky Linux
<a name="selinux"></a>

De forma predeterminada, Security Enhanced Linux (SELinux) está `enabled` configurado en `enforcing` modo para WorkSpaces aplicaciones, generadores de imágenes e instancias de streaming con tecnología de Red Hat Enterprise Linux y Rocky Linux. En el `enforcing` modo, se imponen las denegaciones de permisos. SELinux es un conjunto de funciones y utilidades del núcleo que proporcionan una arquitectura de control de acceso (MAC) sólida, flexible y obligatoria a los principales subsistemas del núcleo.

SELinux proporciona un mecanismo mejorado para hacer cumplir la separación de la información en función de los requisitos de confidencialidad e integridad. Esta separación de la información reduce las amenazas de manipulación y elusión de los mecanismos de seguridad de las aplicaciones. También limita los daños que pueden causar las aplicaciones malintencionadas o defectuosas.

SELinux incluye un conjunto de ejemplos de archivos de configuración de políticas de seguridad diseñados para cumplir con los objetivos de seguridad diarios. Para obtener más información sobre SELinux las características y la funcionalidad, consulte [¿Qué es SELinux](https://www.redhat.com/en/topics/linux/what-is-selinux)?

# Autenticación basada en cookies en aplicaciones de Amazon WorkSpaces
<a name="cookie-auth"></a>

WorkSpaces Las aplicaciones utilizan cookies del navegador para autenticar las sesiones de streaming y permitir a los usuarios volver a conectarse a una sesión activa sin tener que volver a introducir sus credenciales de inicio de sesión cada vez. Los tokens de autenticación se almacenan en las cookies del navegador para cada escenario de autenticación. Si bien las cookies son necesarias para muchos servicios en línea, pueden ser potencialmente vulnerables a los ataques de robo de cookies. Le recomendamos que adopte medidas proactivas para evitar el robo de cookies, como implementar soluciones eficaces de protección del punto de conexión para los dispositivos de sus usuarios. Además, para mitigar las posibles consecuencias en caso de robo de cookies, le recomendamos que considere adoptar las siguientes medidas:
+ **Imponga un límite de sesión única**: para las imágenes de Windows de sus WorkSpaces aplicaciones, cree una clave de registro `HKEY_USERS\S-1-5-18\Software\GSettings\com\nicesoftware\dcv\session-management` con el nombre **max-concurrent-clients**establecido en 1 para permitir solo una conexión a la vez. Esto limita el número de sesiones simultáneas a una e impide la duplicación de las sesiones activas. Para obtener más información, consulte [Parámetros de administración de sesión](https://docs.aws.amazon.com/dcv/latest/adminguide/config-param-ref.html#session_management).
+ **Aplicar requisitos de caducidad de sesión y reautenticación**
  + Reduzca el SessionDuration valor para que el token de autenticación caduque una vez que el usuario inicie correctamente la sesión de streaming. La reutilización de las cookies de autenticación después de que caduque la duración de la sesión requiere que los usuarios se vuelvan a autenticar. SessionDuration especifica el tiempo máximo que una sesión de streaming federada de un usuario puede permanecer activa antes de que sea necesaria la reautenticación. El valor predeterminado es 60 minutos. Para obtener más información, consulte [Paso 5: creación de aserciones para la respuesta de autenticación de SAML](external-identity-providers-setting-up-saml.md#external-identity-providers-create-assertions).
  + Para maximizar la seguridad, los usuarios deben finalizar las sesiones correctamente con la barra de herramientas (terminar sesión), en lugar de cerrar la ventana de streaming. Al finalizar la sesión a través de la barra de herramientas, se cierra tanto la sesión del usuario como la instancia de streaming. Esto requiere volver a autenticarse para futuros accesos, lo que evita el uso indebido de las cookies. Si un usuario cierra la ventana de streaming sin finalizar la sesión, la sesión y la instancia permanecen activas durante un tiempo de espera de desconexión configurable (en minutos). El tiempo de espera de desconexión debe ser un número entre 1 y 5760, y el valor predeterminado es de 15 minutos. Para evitar el uso indebido de las sesiones inactivas, se recomienda establecer un tiempo de espera de desconexión breve. Para obtener más información, consulte [Cree una flota en Amazon WorkSpaces Applications](set-up-stacks-fleets-create.md).
+ **Limite el acceso a WorkSpaces las aplicaciones de streaming a sus rangos de IP**: le recomendamos que implemente políticas de IAM basadas en IP. Esto garantiza que solo se pueda acceder a WorkSpaces las sesiones de aplicaciones desde clientes cuya dirección IP pertenezca a un rango de IP autorizado. Se denegarán todos los intentos de conexión iniciados por un usuario cuya dirección IP de cliente esté fuera de un rango autorizado, incluso si presenta una cookie de autenticación que, por lo demás, es válida (podría ser robada a un usuario). Para obtener más información, consulte [Limitar el acceso para transmitir aplicaciones de Amazon AppStream 2.0 a sus rangos de IP](https://aws.amazon.com/blogs/desktop-and-application-streaming/limit-access-to-stream-amazon-appstream-2-0-applications-to-your-ip-ranges/).
+ **Agregue autenticación adicional**: para lanzar instancias de streaming unidas a un dominio, puede unir las flotas de Windows y los creadores de imágenes de WorkSpaces Applications Always-On Demand a los dominios de Microsoft Active Directory y usar los dominios de Active Directory existentes, ya sean basados en la nube o de forma local. Tras la autenticación basada en SAML inicial, se pedirá a los usuarios que proporcionen sus credenciales de dominio como medida de autenticación adicional en el dominio de la organización. Para obtener más información, consulte [Uso de Active Directory con WorkSpaces aplicaciones](active-directory.md).

 Si tiene alguna duda o necesita ayuda, póngase en contacto con [Centro de AWS Support](https://console.aws.amazon.com/support/home#/). 

# Registro y monitorización en Amazon AppStream 2.0
<a name="logging-monitoring-alerting"></a>

El monitoreo es una parte importante del mantenimiento de la fiabilidad, la disponibilidad y el rendimiento de las aplicaciones de Amazon AppStream 2.0. En este tema se describen los servicios y herramientas que AWS proporciona para monitorear sus recursos de AppStream 2.0 y responder a posibles incidentes.

**Alarmas de Amazon CloudWatch**  
Las alarmas de Amazon CloudWatch, le permiten ver una métrica determinada durante el periodo especificado. Si la métrica supera un límite determinado, se envía una notificación a un tema de Amazon Simple Notification Service o a una política de AWS Auto Scaling. Las alarmas de CloudWatch no invocan acciones que se encuentren en determinado estado. En su lugar, el estado debe haber cambiado y debe mantenerse durante el número de periodos especificado. Para obtener más información, consulte [Supervisión de los recursos de Amazon WorkSpaces Applications](monitoring.md).  
Actualmente, AppStream 2.0 no se puede configurar como destino para CloudWatch Events. Para obtener una lista de los servicios que puede configurar como destinos de eventos de CloudWatch, consulte [¿Qué es Eventos de Amazon CloudWatch?](https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/WhatIsCloudWatchEvents.html).

**AWS CloudTrail**  
AWS CloudTrail proporciona un registro de las medidas adoptadas por un usuario, un rol o un servicio de AWS en AppStream 2.0. Este registro le permite determinar la solicitud que se envió a AppStream 2.0, la dirección IP desde la que se realizó la solicitud, quién realizó la solicitud, cuándo se realizó y detalles adicionales. Para obtener más información, consulte [Registro de llamadas a la API de AppStream 2.0 con AWS CloudTrail](logging-using-cloudtrail.md). 

**AWS Trusted Advisor**  
AWS Trusted Advisor inspecciona el entorno de AWS y realiza recomendaciones para ahorrar dinero, mejorar el rendimiento y la disponibilidad del sistema o ayudar a cerrar los errores de seguridad. Trusted Advisor utiliza las prácticas recomendadas recopiladas de una amplia variedad de clientes de AWS. Todos los clientes de AWS tienen acceso a cinco comprobaciones de Trusted Advisor. Si tiene un plan de soporte Business o Enterprise pueden ver todas las comprobaciones de Trusted Advisor.  
Cuando habilita la [persistencia de configuración de la aplicación](how-it-works-app-settings-persistence.md) o las [carpetas de inicio](home-folders-admin.md) para los usuarios, los datos generados por los usuarios se almacenan en buckets de Amazon S3. Trusted Advisor contiene las siguientes comprobaciones relacionadas con Amazon S3:  
+ Configuración de registro de buckets de Amazon S3.
+ Comprobaciones de seguridad de los buckets de Amazon S3 que tienen permisos de acceso abierto.
+ Comprobaciones de la tolerancia a errores de los buckets de Amazon S3 que no tienen activado el control de versiones, o que lo tienen suspendido. 
Para obtener más información, consulte [AWS Trusted Advisor](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor.html) en la *Guía del usuario de AWS Support*.

**Registros de acceso de Amazon S3**  
Si los usuarios tienen datos de configuración de la aplicación o datos de carpetas de inicio almacenados en buckets de Amazon S3 considere la posibilidad de ver los registros de acceso al servidor de Amazon S3 para monitorear el acceso. Estos registros de acceso proporcionan registros detallados sobre las solicitudes que se realizan a un bucket. Los registros de acceso al servidor resultan útiles para muchas aplicaciones. Por ejemplo, la información del registro de acceso puede ser útil en auditorías de acceso y seguridad. Para obtener más información, consulte el tema [Registro de acceso al servidor de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/ServerLogs.html) en la *Guía del usuario de Amazon Simple Storage Service*.

**Informes de uso de AppStream 2.0**  
Puede suscribirse a informes de uso de AppStream 2.0 para recibir informes detallados sobre la manera en que los usuarios usan el servicio. Los informes incluyen el tiempo de transmisión de los usuarios y las aplicaciones que lanzan. Para obtener más información, consulte [WorkSpaces Informes de uso de aplicaciones](configure-usage-reports.md). 

# Validación de la conformidad de Amazon AppStream 2.0
<a name="compliance-validation"></a>

Auditores externos evalúan la seguridad y la conformidad de Amazon AppStream 2.0 en numerosos programas de conformidad de AWS. En estos se incluyen los siguientes: [SOC](https://aws.amazon.com/compliance/soc-faqs/), [PCI](https://aws.amazon.com/compliance/pci-dss-level-1-faqs), [ISO](https://aws.amazon.com/compliance/iso-certified/), [FedRAMP](https://aws.amazon.com/compliance/fedramp/), [HIPAA](https://aws.amazon.com/compliance/hipaa-compliance/), [MTCS](https://aws.amazon.com/compliance/aws-multitiered-cloud-security-standard-certification/), [ENS High](https://aws.amazon.com/compliance/esquema-nacional-de-seguridad/), [HITRUST CSF](https://aws.amazon.com/compliance/hitrust/), [VPAT](https://aws.amazon.com/compliance/vpat/), etc.

**nota**  
AppStream 2.0 admite [FIPS 140-2](https://aws.amazon.com/compliance/fips/). Para obtener información acerca de cómo utilizar los puntos de conexión FIPS de AppStream 2.0 para uso administrativo o streaming, consulte [Protección de datos en tránsito con puntos de conexión FIPS](protecting-data-in-transit-FIPS-endpoints.md).  
AppStream 2.0 también se encuentra en proceso de evaluación de la [Guía de requisitos de seguridad (SRG) para la computación en la nube del Departamento de Defensa (DoD)](https://aws.amazon.com/compliance/dod/).

Para obtener una lista de los servicios de AWS en el ámbito de programas de conformidad específicos, consulte [Servicios de AWS en el ámbito del programa de conformidad](https://aws.amazon.com/compliance/services-in-scope/). Para obtener información general, consulte [Programas de conformidad de AWS](https://aws.amazon.com/compliance/programs/).

Puedes descargar los informes de auditoría de terceros utilizando AWS Artifact. Para obtener más información, consulte [Descarga de informes en AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).

Su responsabilidad de conformidad al utilizar AppStream 2.0 se determina en función de la sensibilidad de los datos, los objetivos de cumplimiento de su empresa y la legislación y los reglamentos correspondientes. AWS proporciona los siguientes recursos para ayudar con la conformidad:
+ [Security and Compliance Quick Start Guides](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance) (Guías de inicio rápido de seguridad y conformidad) (Guías de inicio rápido de seguridad y conformidad): Estas guías de implementación analizan consideraciones sobre arquitectura y proporcionan los pasos para implementar los entornos de referencia centrados en la seguridad y la conformidad en AWS.
+ [Documento técnico sobre arquitectura para seguridad y conformidad de HIPAA ](https://d0.awsstatic.com/whitepapers/compliance/AWS_HIPAA_Compliance_Whitepaper.pdf): en este documento técnico, se describe cómo las empresas pueden utilizar AWS para crear aplicaciones conformes con HIPAA.
+ [Recursos de conformidad de AWS](https://aws.amazon.com/compliance/resources/): este conjunto de manuales y guías podría aplicarse a su sector y ubicación.
+ [Evaluación de recursos con reglas](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) en la *Guía para desarrolladores de AWS Config*: el servicio AWS Config evalúa en qué medida las configuraciones de sus recursos cumplen las prácticas internas, las directrices del sector y las normativas.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html): este servicio de AWS proporciona una vista integral de su estado de seguridad en AWS que lo ayuda a verificar la conformidad con los estándares y las prácticas recomendadas del sector de seguridad.

# Resiliencia en Amazon AppStream 2.0
<a name="disaster-recovery-resiliency"></a>

La infraestructura global de AWS está conformada por regiones y zonas de disponibilidad de AWS. Las regiones proporcionan varias zonas de disponibilidad físicamente independientes y aisladas que se encuentran conectadas mediante redes con un alto nivel de rendimiento y redundancia, además de baja latencia. Con las zonas de disponibilidad, puede diseñar y utilizar aplicaciones y bases de datos que realizan una conmutación por error automática entre las zonas sin interrupciones. Las zonas de disponibilidad tienen una mayor disponibilidad, tolerancia a errores y escalabilidad que las infraestructuras tradicionales de centros de datos únicos o múltiples.

Para obtener más información sobre las regiones y zonas de disponibilidad de AWS, consulte [Infraestructura global de AWS](https://aws.amazon.com/about-aws/global-infrastructure/).

# Seguridad de la infraestructura en Amazon AppStream 2.0
<a name="infrastructure-security"></a>

Como se trata de un servicio administrado, Amazon AppStream 2.0 se encuentra protegido por la seguridad de red global de AWS. Para obtener información sobre los servicios de seguridad de AWS y sobre cómo AWS protege la infraestructura, consulte [Seguridad en la nube de AWS](https://aws.amazon.com/security/). Para diseñar su entorno de AWS siguiendo las prácticas recomendadas de seguridad de infraestructura, consulte [Protección de la infraestructura](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) en *Portal de seguridad de AWS Well‐Architected Framework*.

Puede utilizar llamadas a la API publicadas en AWS para acceder a AppStream 2.0 a través de la red. Los clientes deben admitir lo siguiente:
+ Seguridad de la capa de transporte (TLS). Exigimos TLS 1.2 y recomendamos TLS 1.3.
+ Conjuntos de cifrado con confidencialidad directa total (PFS) como DHE (Ephemeral Diffie-Hellman) o ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos.

Los siguientes temas proporcionan información adicional sobre la seguridad de la infraestructura en AppStream 2.0.

**Topics**
+ [Aislamiento de red](network-isolation.md)
+ [Aislamiento en hosts físicos](physical-isolation.md)
+ [Control del tráfico de red](control-network-traffic.md)
+ [WorkSpaces Interfaz de aplicaciones: puntos finales de VPC](interface-vpc-endpoints.md)
+ [Protección de datos en tránsito con puntos de conexión FIPS](protecting-data-in-transit-FIPS-endpoints.md)

# Aislamiento de red
<a name="network-isolation"></a>

Una nube privada virtual (VPC) es una red virtual en su propia área, aislada lógicamente en la nube de Amazon Web Services. Utilice VPC separados para aislar la infraestructura por carga de trabajo o unidad organizativa.

Una subred es un rango de direcciones IP de una VPC. Al iniciar una instancia, la lanza a una subred en su VPC. Utilice subredes para aislar los niveles de la aplicación (por ejemplo, web, aplicación y base de datos) en una VPC individual. Utilice subredes privadas para las instancias si no se debe acceder a ellas directamente desde Internet.

Puede transmitir desde instancias de streaming de AppStream 2.0 en su VPC sin tener que pasar por el Internet público. Para ello, utilice un punto de conexión de VPC de interfaz (punto de conexión de interfaz). Para obtener más información, consulte [Tutorial: Creación y streaming desde puntos de conexión de VPC de interfaz](creating-streaming-from-interface-vpc-endpoints.md).

También puede llamar a operaciones de la API de AppStream 2.0 desde su VPC sin necesidad de enviar tráfico a través de Internet público mediante un punto de conexión de interfaz. Para obtener más información, consulte [Acceda a WorkSpaces las operaciones de la API de las aplicaciones y a los comandos de CLI a través de un punto final de interfaz VPC](access-api-cli-through-interface-vpc-endpoint.md).

# Aislamiento en hosts físicos
<a name="physical-isolation"></a>

Las diferentes instancias de streaming en un mismo host físico se aíslan unas de otras como si estuvieran en hosts físicos distintos. El hipervisor aísla la CPU y la memoria, y a las instancias se les proporcionan discos virtualizados en lugar de acceso a los dispositivos del disco sin procesar.

Al detener o terminar una instancia de streaming, el hipervisor limpia la memoria que tiene asignada (es decir, la establece en cero) antes de asignarla a una instancia nueva. Además, se restablece cada bloque de almacenamiento. Esto garantiza que los datos no se expongan a otra instancia. 

# Control del tráfico de red
<a name="control-network-traffic"></a>

Para ayudar a controlar el tráfico de red a las instancias de streaming de AppStream 2.0, considere estas opciones:
+ Al lanzar una instancia de streaming de Amazon AppStream, la lanza a una subred en su VPC. Puede implementar instancias de streaming en una subred privada si no se debe poder acceder a ellas desde Internet.
+ Para proporcionar acceso a través de Internet a las instancias de streaming de una subred privada, utilice una puerta de enlace NAT. Para obtener más información, consulte [Configurar una VPC con subredes privadas y una puerta de enlace NAT](managing-network-internet-NAT-gateway.md).
+ Los grupos de seguridad que pertenecen a su VPC le permiten controlar el tráfico de red entre las instancias de streaming de AppStream 2.0 y los recursos de la VPC, como servidores de licencia, servidores de archivos y servidores de bases de datos. Los grupos de seguridad también aíslan el tráfico entre las instancias de streaming y los servicios de administración de AppStream 2.0. 

  Utilice grupos de seguridad para restringir el acceso a las instancias de streaming. Por ejemplo, puede permitir el tráfico únicamente desde rangos de direcciones para su red corporativa. Para obtener más información, consulte [Grupos de seguridad en Amazon WorkSpaces Applications](managing-network-security-groups.md). 
+ Puede transmitir desde instancias de streaming de AppStream 2.0 en su VPC sin tener que pasar por el Internet público. Para ello, utilice un punto de conexión de VPC de interfaz (punto de conexión de interfaz). Para obtener más información, consulte [Tutorial: Creación y streaming desde puntos de conexión de VPC de interfaz](creating-streaming-from-interface-vpc-endpoints.md).

  También puede llamar a operaciones de la API de AppStream 2.0 desde su VPC sin necesidad de enviar tráfico a través de Internet público mediante un punto de conexión de interfaz. Para obtener más información, consulte [Acceda a WorkSpaces las operaciones de la API de las aplicaciones y a los comandos de CLI a través de un punto final de interfaz VPC](access-api-cli-through-interface-vpc-endpoint.md).
+ Utilice los roles y políticas de IAM para gestionar el acceso de los administradores a los buckets de AppStream 2.0, Application Auto Scaling y Amazon S3. Para obtener más información, consulte los temas siguientes:
  + [Uso de políticas AWS administradas y funciones vinculadas para administrar el acceso de los administradores a WorkSpaces las aplicaciones y los recursos](controlling-administrator-access-with-policies-roles.md)
  + [Uso de políticas de IAM para administrar el acceso de los administradores al Auto Scaling de aplicaciones](autoscaling-iam-policy.md)
  + [Restricción de acceso del administrador al bucket de Amazon S3 para las carpetas de inicio y persistencia de configuración de la aplicación](s3-iam-policy-restricted-access.md)
+ Puede utilizar SAML 2.0 para federar la autenticación a AppStream 2.0. Para obtener más información, consulte [Amazon WorkSpaces Applications Service Quotas](limits.md).
**nota**  
Para implementaciones de AppStream 2.0 más pequeñas, puede utilizar grupos de usuarios de AppStream 2.0. De forma predeterminada, los grupos de usuarios admiten un máximo de 50 usuarios. Para obtener más información acerca de las cuotas de AppStream 2.0 (también denominadas límites), consulte [Amazon WorkSpaces Applications Service Quotas](limits.md). Para implementaciones que deben admitir 100 usuarios de AppStream 2.0 o más, recomendamos usar SAML 2.0.

# WorkSpaces Interfaz de aplicaciones: puntos finales de VPC
<a name="interface-vpc-endpoints"></a>

Una nube privada virtual (VPC) es una red virtual en su propia área, aislada lógicamente en la nube de Amazon Web Services. Si utiliza Amazon Virtual Private Cloud para alojar sus AWS recursos, puede establecer una conexión privada entre la VPC y WorkSpaces las aplicaciones. Puede usar esta conexión para permitir que WorkSpaces las aplicaciones se comuniquen con los recursos de su VPC sin tener que pasar por la Internet pública.

Los puntos finales de la interfaz funcionan con una tecnología que le permite mantener el tráfico de streaming dentro de una VPC que especifique mediante direcciones IP privadas. AWS PrivateLink Cuando utilizas la VPC con un AWS Virtual Private Network túnel Direct Connect o, puedes mantener el tráfico de streaming dentro de tu red. 

En los temas siguientes se proporciona información sobre los puntos finales de la interfaz de WorkSpaces aplicaciones.

**Topics**
+ [Tutorial: Creación y streaming desde puntos de conexión de VPC de interfaz](creating-streaming-from-interface-vpc-endpoints.md)
+ [Acceda a WorkSpaces las operaciones de la API de las aplicaciones y a los comandos de CLI a través de un punto final de interfaz VPC](access-api-cli-through-interface-vpc-endpoint.md)

# Tutorial: Creación y streaming desde puntos de conexión de VPC de interfaz
<a name="creating-streaming-from-interface-vpc-endpoints"></a>

Puede utilizar un punto de enlace de interfaz de VPC en su cuenta de Amazon Web Services para restringir todo el tráfico de red entre su Amazon VPC y las aplicaciones WorkSpaces a la red de Amazon. Después de crear este punto final, debe configurar la pila de WorkSpaces aplicaciones o el generador de imágenes para usarlo. 

**Requisitos previos**

Antes de configurar los puntos finales de la interfaz de VPC para WorkSpaces las aplicaciones, tenga en cuenta los siguientes requisitos previos:
+ La conectividad a Internet es necesaria para autenticar a los usuarios y ofrecer los activos web que las WorkSpaces aplicaciones necesitan para funcionar. El punto de enlace de interfaz de transmisión mantiene el tráfico de transmisión en la VPC. El tráfico de transmisión incluye el tráfico de píxeles, USB, entradas de usuario, audio, portapapeles, carga y descarga de archivos e impresoras. Para que este tráfico sea posible, debe permitir los dominios enumerados en [Dominios permitidos](allowed-domains.md). Tras crear el punto final de la VPC, debe permitir los dominios de autenticación de usuarios de las WorkSpaces aplicaciones. Sin embargo, en el caso de las pasarelas de streaming, puedes restringir el acceso únicamente a < vpc-endpoint-id >.streaming.appstream. <aws-region>.vpce.amazonaws.com. No es obligatorio permitir la inclusión en la lista en \$1.amazonappstream.com. El nombre de dominio totalmente cualificado del punto de conexión de VPC reemplaza esa dependencia.
+ La red a la que se conectan los dispositivos de los usuarios deben poder dirigir el tráfico al punto de conexión de interfaz.
+ Los grupos de seguridad asociados con el punto de conexión de interfaz deben permitir el acceso de entrada al puerto 443 (TCP) y a los puertos 1400-1499 (TCP) desde el rango de direcciones IP desde el que se conecten los usuarios.
+ La lista de control de acceso a la red para las subredes debe permitir el tráfico de salida desde los puertos de red efímeros 1024-65535 (TCP) hasta el rango de direcciones IP desde el que se conecten los usuarios.
+ Debe tener una política de permisos de IAM Cuenta de AWS que proporcione permisos para realizar la acción de la API. `ec2:DescribeVpcEndpoints` De forma predeterminada, este permiso se define en la política de IAM asociada a la AmazonAppStreamServiceAccess función. Si tiene los permisos necesarios, este rol de servicio lo crean automáticamente WorkSpaces las aplicaciones, junto con las políticas de IAM necesarias, al empezar a utilizar el servicio de WorkSpaces aplicaciones en una AWS región. Para obtener más información, consulte [Identity and Access Management para WorkSpaces aplicaciones de Amazon](controlling-access.md).

**Para crear un punto de conexión de interfaz**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, elija **Puntos de conexión**, **Crear punto de conexión**.

1. Elija **Crear punto de conexión**.

1. En la **categoría de servicio**, asegúrese de seleccionar **AWSlos servicios**. 

1. En **Nombre de servicio**, elija **com.amazonaws.***<Región de AWS>***.appstream.streaming**.

1. Especifique la siguiente información. Cuando haya terminado, elija **Crear punto de conexión**. 
   + En **VPC**, elija la VPC en la que desee crear el punto de conexión de interfaz. Puede elegir una VPC diferente a la VPC con recursos de aplicaciones. WorkSpaces 
   + En **Subredes**, seleccione las subredes (zonas de disponibilidad) en las que va a crear las interfaces de red de punto de conexión. Le recomendamos que elija subredes que se encuentren al menos en dos zonas de disponibilidad.
   + Para el **tipo de dirección IP**, elija entre o IPV6 . IPV4
   + Asegúrese de que la casilla de verificación **Habilitar nombre de DNS privado** esté seleccionada. 
**nota**  
Si los usuarios utilizan un proxy de red para acceder a instancias de streaming, deshabilite cualquier almacenamiento en caché de proxy en los nombres de dominio y DNS asociados al punto de conexión privado. El nombre de DNS del punto de conexión de VPC debe estar permitido a través del proxy.
   + En **Grupo de seguridad**, elija los grupos de seguridad que deban asociarse a las interfaces de red de punto de conexión. 
**nota**  
Los grupos de seguridad deben proporcionar acceso de entrada a los puertos desde el rango de direcciones IP desde el que se conecten los usuarios.

Mientras se está creando el punto de conexión de interfaz, el estado del punto de conexión en la consola aparece como **Pendiente**. Una vez creado el punto de conexión, el estado cambia a **Disponible**. 

 Para actualizar una pila para utilizar el punto de conexión de interfaz que haya creado para las sesiones de streaming, siga los siguientes pasos.

**Para actualizar una pila para utilizar un nuevo punto de conexión de interfaz**

1. Abre la consola de WorkSpaces aplicaciones en [https://console.aws.amazon.com/appstream2/casa](https://console.aws.amazon.com/appstream2/home).

   Asegúrese de abrir la consola en la misma AWS región que el punto final de la interfaz que desee utilizar.

1. En el panel de navegación, elija **Pilas** y, a continuación, elija la pila que desee.

1. Elija la pestaña **Puntos de conexión de VPC** y, a continuación, elija **Editar**.

1. En el cuadro de diálogo **Editar punto de conexión de VPC**, en **Punto de conexión de streaming**, elija el punto de conexión a través del cual desee transmitir el tráfico.

1. Elija **Actualizar**.

El tráfico de las nuevas sesiones de streaming se dirigirá a través de este punto de conexión. Sin embargo, el tráfico de las sesiones de streaming actuales sigue dirigiéndose a través del punto de conexión especificado anteriormente.

**nota**  
Los usuarios no pueden transmitir en streaming mediante el punto de conexión de Internet cuando se especifica un punto de conexión de interfaz.

# Acceda a WorkSpaces las operaciones de la API de las aplicaciones y a los comandos de CLI a través de un punto final de interfaz VPC
<a name="access-api-cli-through-interface-vpc-endpoint"></a>

Si utiliza Amazon Virtual Private Cloud para alojar sus AWS recursos, puede conectarse directamente a las operaciones de la API de WorkSpaces aplicaciones o a los comandos de la interfaz de línea de comandos (CLI) a través de un punto final de la [interfaz VPC (punto](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) final de la interfaz) en su nube privada virtual (VPC) en lugar de conectarse a través de Internet. Los puntos finales de la interfaz funcionan con una tecnología que le permite mantener el tráfico de streaming dentro de una VPC que especifique mediante direcciones IP privadas. AWS PrivateLink Cuando utiliza un punto final de interfaz, la comunicación entre la VPC y WorkSpaces las aplicaciones se lleva a cabo de forma completa y segura dentro de la AWS red.

**nota**  
En este tema se describe cómo acceder a las operaciones de la API de WorkSpaces aplicaciones y a los comandos de la CLI a través de un punto final de la interfaz. Para obtener información sobre cómo crear y transmitir desde los puntos finales de la interfaz de WorkSpaces aplicaciones, consulte[Tutorial: Creación y streaming desde puntos de conexión de VPC de interfaz](creating-streaming-from-interface-vpc-endpoints.md).

**Requisitos previos**

Para utilizar los puntos de conexión de interfaz, debe cumplir los siguientes requisitos previos:
+ Los grupos de seguridad asociados con el punto de conexión de interfaz deben permitir el acceso de entrada al puerto 443 (TCP) desde el rango de direcciones IP desde el que se conecten los usuarios.
+ La lista de control de acceso a la red para las subredes debe permitir el tráfico de salida desde los puertos de red efímeros 1024-65535 (TCP) hasta el rango de direcciones IP desde el que se conecten los usuarios.

**Topics**
+ [Cree un punto final de interfaz para acceder a WorkSpaces las aplicaciones, las operaciones de la API y los comandos de CLI](access-api-cli-through-interface-vpc-endpoint-create-interface-endpoint.md)
+ [Utilice un punto final de interfaz para acceder a WorkSpaces las aplicaciones, las operaciones de la API y los comandos de CLI](how-to-access-api-cli-through-interface-vpc-endpoint.md)

# Cree un punto final de interfaz para acceder a WorkSpaces las aplicaciones, las operaciones de la API y los comandos de CLI
<a name="access-api-cli-through-interface-vpc-endpoint-create-interface-endpoint"></a>

Siga los siguientes pasos para crear un punto de conexión de interfaz.

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, elija **Puntos de conexión**, **Crear punto de conexión**.

1. Elija **Crear punto de conexión**.

1. En la **categoría de servicio**, asegúrese de seleccionar **AWSlos servicios**. 

1. En **Nombre de servicio**, elija **com.amazonaws.***<Región de AWS>***.appstream.api**.

1. Especifique la siguiente información. Cuando haya terminado, elija **Crear punto de conexión**. 
   + En **VPC**, seleccione la VPC en la que desee crear el punto de conexión de interfaz. 
   + En **Subredes**, seleccione las subredes (zonas de disponibilidad) en las que se van a crear las interfaces de red de punto de conexión. Le recomendamos que elija subredes que se encuentren al menos en dos zonas de disponibilidad.
   + También puede seleccionar la casilla de verificación **Habilitar nombre de DNS privado**.
**nota**  
Si selecciona esta opción, asegúrese de configurar la VPC y el DNS según sea necesario para admitir un DNS privado. Para obtener más información, consulte [DNS privados](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-private-dns) en la *Guía del usuario de Amazon VPC*.
   + En **Grupo de seguridad**, seleccione los grupos de seguridad que deban asociarse a las interfaces de red de punto de conexión. 
**nota**  
Los grupos de seguridad deben proporcionar acceso de entrada a los puertos desde el rango de direcciones IP desde el que se conecten los usuarios.

Mientras se está creando el punto de conexión de interfaz, el estado del punto de conexión en la consola aparece como **Pendiente**. Una vez creado el punto de conexión, el estado cambia a **Disponible**.

# Utilice un punto final de interfaz para acceder a WorkSpaces las aplicaciones, las operaciones de la API y los comandos de CLI
<a name="how-to-access-api-cli-through-interface-vpc-endpoint"></a>

Una vez que el estado del punto final de la VPC de la interfaz en el que se crea cambie a **Disponible**, puede usar el punto final para acceder a las operaciones de la API de WorkSpaces aplicaciones y a los comandos de la CLI. Para ello, especifique el parámetro `endpoint-url` con el nombre DNS del punto de conexión de interfaz cuando utilice estas operaciones y comandos. El nombre DNS se puede resolver públicamente, pero solo dirige correctamente el tráfico en la VPC. 

En el siguiente ejemplo, se muestra cómo especificar el nombre DNS del punto de conexión de interfaz cuando se utiliza el comando de la CLI **describe-fleets**:

```
aws appstream describe-fleets --endpoint-url <vpc-endpoint-id>.api.appstream.<aws-region>.vpce.amazonaws.com
```

El siguiente ejemplo muestra cómo especificar el nombre DNS del punto final de la interfaz al crear una instancia del cliente Python Boto3 de WorkSpaces Applications:

```
appstream2client = boto3.client('appstream',region_name='<aws-region>',endpoint_url='<vpc-endpoint-id>.api.appstream.<aws-region>.vpce.amazonaws.com'
```

Los comandos posteriores que utilizan el objeto `appstream2client` utilizan automáticamente el punto de conexión de interfaz que haya especificado.

Si ha habilitado los nombres de host DNS privados en el punto de conexión de interfaz, no necesita especificar la URL del punto de conexión. El nombre de host DNS de la API de WorkSpaces aplicaciones que la API y la CLI utilizan de forma predeterminada se resuelve en la VPC. Para obtener más información acerca de los nombres de host DNS privados, consulte [DNS privados](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-private-dns) en la *Guía del usuario de Amazon VPC*.

# Protección de datos en tránsito con puntos de conexión FIPS
<a name="protecting-data-in-transit-FIPS-endpoints"></a>

De forma predeterminada, cuando se comunica con el servicio de AppStream 2.0, ya sea como administrador que utiliza la consola de AppStream 2.0, la interfaz de la línea de comandos de AWS (AWS CLI) o un AWS SDK, o como usuario que transmite en streaming desde un generador de imágenes o una instancia de flota, todos los datos en tránsito se cifran mediante TLS 1.2.

Si necesita módulos criptográficos validados FIPS 140-2 al acceder a AWS a través de una interfaz de línea de comandos o una API, utilice un punto de conexión de FIPS. AppStream 2.0 ofrece puntos de conexión FIPS en todas las regiones de AWS de los Estados Unidos en las que está disponible AppStream 2.0. Cuando se utiliza un punto de conexión FIPS, todos los datos en tránsito se cifran mediante estándares criptográficos que cumplen con el Estándar de procesamiento de la información federal (FIPS) 140-2. Para obtener información acerca de los puntos de conexión FIPS, incluida una lista de puntos de conexión de AppStream 2.0, consulte [Estándar de procesamiento de la información federal (FIPS) 140-2](https://aws.amazon.com/compliance/fips).

**Topics**
+ [Puntos de conexión FIPS para uso administrativo](FIPS-for-administrative-use.md)
+ [Puntos de conexión FIPS para sesiones de streaming de usuarios](FIPS-for-user-streaming-sessions.md)
+ [Excepciones](FIPS-exceptions.md)

# Puntos de conexión FIPS para uso administrativo
<a name="FIPS-for-administrative-use"></a>

Para especificar un punto de conexión FIPS cuando ejecute un comando de AWS CLI para AppStream 2.0, utilice el parámetro `endpoint-url`. En el ejemplo siguiente, se utiliza el punto de conexión FIPS de AppStream 2.0 de la región Oeste de EE. UU. (Oregón) para recuperar una lista de todas las pilas de la región:

```
aws appstream describe-stacks --endpoint-url https://appstream2-fips.us-west-2.amazonaws.com
```

Para especificar un punto de conexión FIPS para las operaciones de la API de AppStream 2.0, utilice el procedimiento del AWS SDK para especificar un punto de conexión personalizado.

# Puntos de conexión FIPS para sesiones de streaming de usuarios
<a name="FIPS-for-user-streaming-sessions"></a>

Si utiliza SAML 2.0 o una URL de streaming para autenticar a los usuarios, puede configurar conexiones compatibles con FIPS para las sesiones de streaming de los usuarios.

Para utilizar una conexión compatible con FIPS para los usuarios que se autentican mediante SAML 2.0, especifique un punto de conexión FIPS de AppStream 2.0 al configurar el estado de retransmisión de la federación. Para obtener más información acerca de cómo crear una URL de estado de retransmisión para identidades federadas mediante SAML 2.0, consulte [Configuración de SAML](external-identity-providers-setting-up-saml.md).

Para configurar una conexión compatible con FIPS para los usuarios que se autentican a través de una URL de streaming, especifique un punto de conexión FIPS de AppStream 2.0 al llamar a la operación [CreateStreamingURL](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateStreamingURL.html) o [CreateImageBuilderStreamingURL](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateImageBuilderStreamingURL.html) desde la AWS CLI o un AWS SDK. Un usuario que se conecta a una instancia de streaming mediante la URL resultante se conecta a través de una conexión compatible con FIPS. En el ejemplo siguiente, se utiliza el punto de conexión FIPS de AppStream 2.0 de la región Este de EE. UU. (Virginia) para generar una URL de streaming compatible con FIPS:

```
aws appstream create-streaming-url --stack-name stack-name --fleet-name fleet-name --user-id user-id --endpoint-url https://appstream2-fips.us-east-1.amazonaws.com
```

# Excepciones
<a name="FIPS-exceptions"></a>

Las conexiones compatibles con FIPS no se admiten en los siguientes escenarios:
+ Administración de AppStream 2.0 a través de la consola de AppStream 2.0.
+ Sesiones de streaming para usuarios que se autentican mediante la función de grupo de usuarios de AppStream 2.0
+ Streaming mediante un punto de conexión de VPC de tipo interfaz
+ Generación de URL de streaming compatibles con FIPS a través de la consola de AppStream 2.0
+ Conexiones a sus cuentas de almacenamiento de Google Drive o OneDrive para las que el proveedor de almacenamiento no proporciona un punto de conexión FIPS

# Grupos de seguridad en Amazon WorkSpaces Applications
<a name="managing-network-security-groups"></a>

Puede proporcionar un control de acceso adicional a su VPC desde instancias de streaming de una flota o desde un generador de imágenes en Amazon WorkSpaces Applications asociándolas a grupos de seguridad de VPC. Los grupos de seguridad que pertenecen a su VPC le permiten controlar el tráfico de red entre las instancias de streaming de WorkSpaces las aplicaciones y los recursos de la VPC, como los servidores de licencias, los servidores de archivos y los servidores de bases de datos. Para obtener más información, consulte [Grupos de seguridad de su VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) en la *Guía del usuario de Amazon VPC*.

Las reglas que defina para el grupo de seguridad de su VPC se aplican cuando el grupo de seguridad se asocia con un generador de flotas o imágenes. Las reglas del grupo de seguridad determinan qué tráfico de red se permite desde sus instancias de streaming. Para obtener más información, consulte [Reglas del grupo de seguridad](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#SecurityGroupRules) en la *Guía del usuario de Amazon VPC*.

Puede asociar hasta cinco grupos de seguridad al iniciar un nuevo generador de imágenes o al crear una nueva flota. También puede asociar grupos de seguridad a una flota existente o cambiar los grupos de seguridad de una flota (para cambiar los grupos de seguridad de una flota, primero debe detener la flota). Para obtener más información, consulte [Uso de grupos de seguridad](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups) en la *Guía del usuario de Amazon VPC*.

Si no selecciona ningún grupo de seguridad, su generador de imágenes o flota se asocia con el grupo de seguridad predeterminado de la VPC. Para obtener más información, consulte [Grupo de seguridad predeterminado de su VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#DefaultSecurityGroup) en la *Guía del usuario de Amazon VPC*.

Tenga en cuenta estas consideraciones adicionales cuando utilice grupos de seguridad con WorkSpaces aplicaciones.
+ Los grupos de seguridad asociados a la instancia de streaming afectan a todos los datos del usuario final, como el tráfico de Internet, los datos de la carpeta de inicio o la comunicación de las aplicaciones con los recursos de la VPC.
+ Los grupos de seguridad no afectan a los datos de píxeles de streaming.
+ Si ha habilitado el acceso a Internet predeterminado para su flota o su generador de imágenes, las reglas de los grupos de seguridad asociados deben permitir el acceso a Internet.

Puede crear o editar las reglas de los grupos de seguridad o crear grupos de seguridad nuevos mediante la consola de Amazon VPC. 
+ **Para asociar grupos de seguridad a un generador de imágenes** - Siga las instrucciones de [Lanzar un generador de imágenes para instalar y configurar aplicaciones de streaming](tutorial-image-builder-create.md).
+ **Para asociar grupos de seguridad a una flota**
  + *Al crear la flota* - Siga las instrucciones de [Cree una flota en Amazon WorkSpaces Applications](set-up-stacks-fleets-create.md).
  + *Para una flota existente* - Edite la configuración de la flota con la Consola de administración de AWS.

También puede asociar grupos de seguridad a sus flotas mediante las teclas AWS CLI y SDKs.
+ **AWS CLI**: utilice los comandos [create-fleet](https://docs.aws.amazon.com/cli/latest/reference/appstream/create-fleet.html) y [update-fleet](https://docs.aws.amazon.com/cli/latest/reference/appstream/update-fleet.html).
+ **AWS SDKs**— Utilice las operaciones [CreateFleet](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateFleet.html)y [UpdateFleet](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_UpdateFleet.html)API.

Para obtener más información, consulte la [Guía del usuario de AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/) y las [Herramientas para Amazon Web Services](https://aws.amazon.com/tools/).

# Administración de actualizaciones en Amazon AppStream 2.0
<a name="update-management"></a>

AppStream 2.0 proporciona una forma automatizada de actualizar el generador de imágenes con el software de AppStream 2.0 más reciente. Cuando las imágenes se configuran para utilizar siempre la última versión del agente de AppStream 2.0, las instancias de streaming se actualizan automáticamente con las características, mejoras de rendimiento y actualizaciones de seguridad más recientes proporcionadas por AWS. Para obtener más información acerca de cómo administrar las versiones del agente de AppStream 2.0, consulte [Gestione WorkSpaces las versiones del agente de aplicaciones](base-images-agent.md). 

Usted es responsable de instalar y mantener las actualizaciones del sistema operativo Windows, de sus propias aplicaciones y de las dependencias entre ellos. Para obtener más información, consulte [Conserve la imagen de sus WorkSpaces aplicaciones de Amazon Up-to-Date](keep-image-updated.md).

Puede mantener su imagen de AppStream 2.0 actualizada mediante las actualizaciones de imágenes de AppStream 2.0 administradas. Este método de actualización proporciona las actualizaciones más recientes del sistema operativo Windows y de los controladores, así como el software del agente de AppStream 2.0 más reciente. Para obtener más información, consulte [Actualice una imagen mediante WorkSpaces aplicaciones gestionadas (actualizaciones de imágenes)](keep-image-updated-managed-image-updates.md).

Para administrar las actualizaciones de las aplicaciones en las instancias de streaming, puede utilizar los servicios de actualización automática proporcionados. También puede seguir las recomendaciones para instalar actualizaciones proporcionadas por el proveedor de la aplicación. 

# Amazon WorkSpaces Applications Cross-Service Confused Deputy Prevention
<a name="confused-deputy"></a>

El problema del suplente confuso es un problema de seguridad en el que una entidad que no tiene permiso para realizar una acción obliga a una entidad con más privilegios a realizar la acción. En AWS, la suplantación entre servicios puede resultar en el problema del suplente confuso. La suplantación entre servicios ocurre cuando un servicio (el *servicio que lleva a cabo las llamadas*) llama a otro servicio (el *servicio al que se llama*). El servicio que lleva a cabo las llamadas puede manipular el servicio llamado para que utilice sus permisos para actuar en los recursos de un cliente de maneras en las que el servicio que lleva a cabo las llamadas no tiene permiso hacerlo. Para evitarlo, AWS proporciona herramientas que le ayudan a proteger los datos de todos los servicios con directores de servicio que tienen acceso a los recursos de su cuenta.

Se recomienda utilizar las claves de contexto de condición global `aws:SourceArn` y `aws:SourceAccount` en las políticas de recursos para limitar los permisos cuando se accede a estos recursos. En las siguientes directrices se detallan las recomendaciones y los requisitos a la hora de utilizar estas claves para proteger los recursos:
+ Utilice `aws:SourceArn` si desea que solo se asocie un recurso al acceso entre servicios.
+ Utilice `aws:SourceAccount` si quiere permitir que cualquier recurso en la cuenta especificada se asocie al uso entre servicios.
+ Si la clave `aws:SourceArn` no contiene un ID de cuenta, debe utilizar ambas claves de contexto de condición global (`aws:SourceArn` y `aws:SourceAccount`) para limitar los permisos.
+ Si se utilizan ambas claves de contexto de condición global y el valor `aws:SourceArn` contiene un ID de cuenta, la clave `aws:SourceAccount` debe utilizar el mismo ID de cuenta cuando se utilice en la misma declaración de política.

La forma más eficaz de protegerse contra el problema del suplente confuso es utilizar el nombre de recurso de Amazon (ARN) exacto del recurso que desea permitir. Si no conoce el ARN completo del recurso, utilice la clave de condición de contexto global `aws:SourceArn` con comodines (como \$1) para las partes desconocidas del ARN. También puede utilizar un comodín en el ARN si desea especificar varios recursos. Por ejemplo, puede formatear el ARN como `arn:aws:servicename::region-name::your Cuenta de AWS ID:*`.

**Topics**
+ [Ejemplo: función de servicio de WorkSpaces aplicaciones, prevención confusa entre servicios](example-confused-deputy.md)
+ [Ejemplo: flota de WorkSpaces aplicaciones, función de máquina, multiservicio, prevención de errores confusos](example-fleet-machine.md)
+ [Ejemplo: WorkSpaces Aplicaciones: script de sesión de flotas elásticas, política de cubos de Amazon S3, prevención de fallos confusos entre servicios](example-elastic-fleets.md)
+ [Ejemplo: Aplicación de WorkSpaces aplicaciones: política de bucket de Amazon S3, prevención indirecta confusa entre servicios](example-s3-bucket.md)

# Ejemplo: función de servicio de WorkSpaces aplicaciones, prevención confusa entre servicios
<a name="example-confused-deputy"></a>

WorkSpaces Las aplicaciones asumen una función de servicio utilizando una variedad de recursos ARNs, lo que lleva a una declaración condicional complicada. Recomendamos utilizar un tipo de recurso comodín para evitar errores inesperados en los recursos de WorkSpaces las aplicaciones.

**Example `aws:SourceAccount` condicional:**    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "appstream.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "your Cuenta de AWS ID"
                }
            }
        }
    ]
}
```

**Example `aws:SourceArn` condicional:**    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "appstream.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "ArnLike": {                   
                "aws:SourceArn": "arn:aws:appstream:us-east-1:111122223333:*"
                }
            }
        }
    ]
}
```

# Ejemplo: flota de WorkSpaces aplicaciones, función de máquina, multiservicio, prevención de errores confusos
<a name="example-fleet-machine"></a>

**Example `aws:SourceAccount` condicional:**    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "appstream.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "your Cuenta de AWS ID"
                }
            }
        }
    ]
}
```

**Example `aws:SourceArn` condicional:**  
Si desea utilizar un rol de IAM para varias flotas, le recomendamos que utilice la clave de condición del contexto `aws:SourceArn` global con caracteres comodín (\$1) para hacer coincidir los recursos de la flota de varias WorkSpaces aplicaciones.  
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "appstream.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "ArnLike": {
                "aws:SourceArn": "arn:aws:appstream:us-east-1:111122223333:fleet/your-fleet-name"
                }
            }
        }
    ]
}
```

# Ejemplo: WorkSpaces Aplicaciones: script de sesión de flotas elásticas, política de cubos de Amazon S3, prevención de fallos confusos entre servicios
<a name="example-elastic-fleets"></a>

**Example `aws:SourceAccount` condicional:**    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "appstream.amazonaws.com"
                ]
            },
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::your-bucket-name/your-session-script-path",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "your Cuenta de AWS ID"
                } 
            }
        }
    ]
}
```

**Example `aws:SourceArn` condicional:**    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "appstream.amazonaws.com"
                ]
            },
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::bucket/AppStream2/*",
            "Condition": {
                "ArnLike": {
                "aws:SourceArn": "arn:aws:appstream:us-east-1:111122223333:fleet/yourFleetName"
                }
            }
        }
    ]
}
```

# Ejemplo: Aplicación de WorkSpaces aplicaciones: política de bucket de Amazon S3, prevención indirecta confusa entre servicios
<a name="example-s3-bucket"></a>

Al guardar datos en un bucket de Amazon S3, el bucket puede verse expuesto a problemas suplentes confusos. Esto puede hacer que datos como las flotas elásticas, los bloques de aplicaciones, los scripts de configuración, los iconos de las aplicaciones y los scripts de sesión sean vulnerables a agentes malintencionados.

Para evitar problemas de suplentes confusos, puede especificar la condición `aws:SourceAccount` o la condición `aws:SourceArn` en la política del bucket de Amazon S3 para `ELASTIC-FLEET-EXAMPLE-BUCKET`.

Las siguientes políticas de recursos muestran cómo evitar el problema de suplente confuso mediante una de las siguientes opciones:
+ O `aws:SourceAccount` con tu ID de AWS cuenta
+ La clave de contexto de condición global `aws:SourceArn`

WorkSpaces Actualmente, Applications no admite la prevención confusa de los íconos de las aplicaciones. El servicio solo admite archivos VHD y scripts de configuración. Si intenta añadir condiciones adicionales para los iconos de las aplicaciones, no se mostrarán los iconos a los usuarios finales.

En el siguiente ejemplo, la política de bucket solo permite el acceso a los recursos de la flota de WorkSpaces Applications Elastic de la cuenta del propietario`ELASTIC_FLEET_EXAMPLE_BUCKET`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ConfusedDeputyPreventionExamplePolicy",
            "Effect": "Allow",
            "Principal": {
                "Service": "appstream.amazonaws.com"
            },
            "Action": "s3:GetObject",
            "Resource": [
                "arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/vhd-folder/*",
                "arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/scripts/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "your Cuenta de AWS ID"
                }
            }
        },
        {
            "Sid": "AllowRetrievalPermissionsToS3AppIconsForAppStream",
            "Effect": "Allow",
            "Principal": {
                "Service": "appstream.amazonaws.com"
            },
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/app-icons/*"
        }
    ]
}
```

------

También puede usar la condición `aws:SourceArn` para limitar el acceso a recursos específicos. 

**nota**  
Si no conoce el ARN completo de un recurso, o si desea especificar varios recursos, utilice la clave de condición de contexto global `aws:SourceArn` con comodines (\$1) para las partes desconocidas del ARN.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ConfusedDeputyPreventionExamplePolicy",
            "Effect": "Allow",
            "Principal": {
                "Service": "appstream.amazonaws.com"
            },
            "Action": "s3:GetObject",
            "Resource": [
                "arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/vhd-folder/*",
                "arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/scripts/*"
            ],
            "Condition": {
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:appstream:us-east-1:111122223333:app-block/*"
                }
            }
        },
        {
            "Sid": "AllowRetrievalPermissionsToS3AppIconsForAppStream",
            "Effect": "Allow",
            "Principal": {
                "Service": "appstream.amazonaws.com"
            },
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/app-icons/*"
        }
    ]
}
```

------

Puede usar las condiciones `aws:SourceArn` y `aws:SourceAccount` para limitar el acceso a los recursos para recursos y cuentas específicos. 

**nota**  
Si no conoce el ARN completo de un recurso, o si desea especificar varios recursos, utilice la clave de condición de contexto global `aws:SourceArn` con comodines (\$1) para las partes desconocidas del ARN.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ConfusedDeputyPreventionExamplePolicy",
            "Effect": "Allow",
            "Principal": {
                "Service": "appstream.amazonaws.com"
            },
            "Action": "s3:GetObject",
            "Resource": [
                "arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/vhd-folder/*",
                "arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/scripts/*"
            ],
            "Condition": {
                "ArnLike": {
                "aws:SourceArn": "arn:aws:appstream:us-east-1:111122223333:app-block/*"
                },
                "StringEquals": {
                    "aws:SourceAccount": "your AWS account ID"
                }
            }
        },
        {
            "Sid": "AllowRetrievalPermissionsToS3AppIconsForAppStream",
            "Effect": "Allow",
            "Principal": {
                "Service": "appstream.amazonaws.com"
            },
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/app-icons/*"
        }
    ]
}
```

------

# Mejores prácticas de seguridad en Amazon WorkSpaces Applications
<a name="security-best-practices"></a>

 La seguridad en la nube de Amazon Web Services (AWS) es la máxima prioridad. La seguridad y el cumplimiento son una responsabilidad compartida entre el cliente AWS y el cliente. Para más información, consulte el [https://aws.amazon.com/compliance/shared-responsibility-model/](https://aws.amazon.com/compliance/shared-responsibility-model/). Como cliente de AWS And WorkSpaces Applications, es importante implementar medidas de seguridad en diferentes niveles, como la pila, la flota, la imagen y las redes. 

 Debido a su naturaleza efímera, se suele preferir a WorkSpaces Applications como solución segura para la distribución de aplicaciones y escritorios. Considere si las soluciones antivirus habituales en las implementaciones de Windows son relevantes en sus casos de uso para un entorno que está predefinido y se purga al final de la sesión de usuario. El antivirus sobrecarga las instancias virtualizadas, por lo que se recomienda mitigar las actividades innecesarias. Por ejemplo, escanear el volumen del sistema (que es efímero) durante el arranque no aumenta la seguridad general de las aplicaciones. WorkSpaces 

 Las dos preguntas clave para las WorkSpaces aplicaciones de seguridad se centran en: 
+  ¿Es obligatorio conservar el estado del usuario más allá de la sesión? 
+  ¿Cuánto acceso debe tener un usuario dentro de una sesión? 

**Topics**
+ [Protección de datos persistentes](securing-persistent-data.md)
+ [Seguridad y antivirus para puntos de conexión](endpoint-security-antivirus.md)
+ [Exclusiones de red](network-exclusions.md)
+ [Cómo proteger una sesión de aplicaciones WorkSpaces](securing-session.md)
+ [Firewalls y enrutamiento](firewalls-routing.md)
+ [Prevención de pérdida de datos](data-loss-prevention.md)
+ [Control del tráfico de salida](controlling-egress-traffic.md)
+ [Uso de AWS los servicios](using-services.md)

# Protección de datos persistentes
<a name="securing-persistent-data"></a>

 Las implementaciones de WorkSpaces aplicaciones pueden requerir que el estado del usuario persista de alguna forma. Puede ser para conservar los datos de usuarios individuales o para la colaboración mediante una carpeta compartida. AppStreamEl almacenamiento de instancias 2.0 es efímero y no tiene opción de cifrado. 

 WorkSpaces Las aplicaciones proporcionan persistencia del estado del usuario a través de las carpetas de inicio y la configuración de las aplicaciones en Amazon S3. Algunos casos de uso requieren un mayor control sobre la persistencia del estado de los usuarios. Para estos casos de uso, AWS recomienda utilizar un recurso compartido de archivos de bloque de mensajes del servidor (SMB). 

## Estado y datos de usuario
<a name="user-state-and-data"></a>

Dado que la mayoría de las aplicaciones de Windows funcionan mejor y de forma más segura cuando se ubican junto con los datos de la aplicación creados por el usuario, se recomienda mantener estos datos al Región de AWS mismo nivel que WorkSpaces las flotas de aplicaciones. Se recomienda cifrar estos datos. El comportamiento predeterminado de la carpeta de inicio del usuario es cifrar los archivos y carpetas en reposo mediante claves de cifrado administradas por Amazon S3 desde los AWS servicios de administración de claves ().AWS KMS Es importante tener en cuenta que los usuarios AWS administrativos con acceso a la AWS consola o al bucket de Amazon S3 podrán acceder directamente a esos archivos.

En los diseños que requieren un objetivo de bloque de mensajes de servidor (SMB) de un recurso compartido de archivos de Windows para almacenar los archivos y carpetas de los usuarios, el proceso es automático o requiere una configuración.

 *Tabla 5: Opciones para proteger los datos de los usuarios* 


|   **Objetivo para SMB**   |  **Encryption-at-rest**  |  **Encryption-in-transit**  |   **Antivirus (AV)**   | 
| --- | --- | --- | --- | 
|  FSx para Windows File Server  |  [https://docs.aws.amazon.com/fsx/latest/WindowsGuide/encryption-at-rest.html](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/encryption-at-rest.html)  |  [https://docs.aws.amazon.com/fsx/latest/WindowsGuide/encryption-in-transit.html](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/encryption-in-transit.html)  |   El AV instalado en una instancia remota escanea en la unidad mapeada   | 
|   **File Gateway, AWS Storage Gateway**   |  De forma predeterminada, todos los datos almacenados AWS Storage Gateway en S3 se cifran en el servidor con claves de cifrado gestionadas por Amazon S3 (SSE-S3). Si lo desea, puede configurar diferentes tipos de puertas de enlace para cifrar los datos almacenados con (KMS) AWS Key Management Service  |  Todos los datos transferidos entre cualquier tipo de dispositivo de puerta de enlace y el AWS almacenamiento se cifran mediante SSL.  |   El AV instalado en una instancia remota escanea en la unidad mapeada   | 
|  Servidores de archivos Windows basados en EC2  |  [Habilitar cifrado de EBS](https://docs.aws.amazon.com/kms/latest/developerguide/services-ebs.html)  |  PowerShell; Set- SmbServerConfiguration – EncryptData \$1True  |   El AV instalado en el servidor escanea las unidades locales   | 

# Seguridad y antivirus para puntos de conexión
<a name="endpoint-security-antivirus"></a>

Debido a la breve naturaleza efímera de WorkSpaces las instancias de Applications y a la falta de persistencia de los datos, es necesario adoptar un enfoque diferente para garantizar que la experiencia del usuario y el rendimiento no se vean comprometidos por actividades que serían necesarias en un escritorio persistente. Los agentes de Endpoint Security se instalan en WorkSpaces las imágenes de las aplicaciones cuando existe una política organizacional o cuando se utilizan para la entrada de datos externos, por ejemplo, el correo electrónico, la entrada de archivos o la navegación web externa.

## Eliminar identificadores únicos
<a name="removing-unique-iidentifiers"></a>

Los agentes de seguridad de los puntos de conexión pueden tener un identificador global único (GUID) que debe reiniciarse durante el proceso de creación de la instancia de flota. Los proveedores tienen instrucciones sobre cómo instalar sus productos en imágenes, lo que garantizará que se genere un nuevo GUID para cada instancia generada a partir de una imagen.

Para garantizar que no se genere el GUID, instale el agente de Endpoint Security como última acción antes de ejecutar el Asistente de WorkSpaces Aplicaciones para generar la imagen.

## Optimización del rendimiento
<a name="performance-optimization"></a>

Los proveedores de seguridad para terminales proporcionan conmutadores y configuraciones que optimizan el rendimiento de WorkSpaces las aplicaciones. La configuración varía de un proveedor a otro y se puede encontrar en su documentación, normalmente en una sección sobre VDI. Algunos de los ajustes más comunes son:
+ Desactive los escaneos de arranque para garantizar que se minimicen los tiempos de creación, startup e inicio de sesión de las instancias
+ Desactive los escaneos programados para evitar escaneos innecesarios
+ Desactive las cachés de firmas para evitar la enumeración de archivos
+ Habilite la configuración de IO optimizada para VDI
+ Exclusiones requeridas por las aplicaciones para garantizar el rendimiento

Los proveedores de seguridad para los puntos de conexión proporcionan instrucciones de uso para entornos de escritorios virtuales que optimizan el rendimiento.
+ [Soporte de Trend Micro Office Scan para infraestructuras de escritorios virtuales - Apex One/ OfficeScan (](https://success.trendmicro.com/solution/1055260-best-practice-for-setting-up-virtual-desktop-infrastructure-vdi-in-officescan)trendmicro.com)
+ CrowdStrike y [cómo instalar el Falcon en el centro de datos CrowdStrike ](https://www.crowdstrike.com/blog/tech-center/install-falcon-datacenter/)
+ Sophos y [Punto de conexión de Sophos Central: cómo instalarlo con una buena imagen para evitar la duplicación de identidades](https://support.sophos.com/support/s/article/KB-000035040?language=en_US) y [Sophos Central: prácticas recomendadas a la hora de instalar puntos de conexión de Windows en entornos de escritorios virtuales](https://support.sophos.com/support/s/article/KB-000039009?language=en_US)
+ McAfee y el [aprovisionamiento e implementación de McAfee agentes en sistemas de infraestructura de escritorios virtuales](https://kc.mcafee.com/corporate/index?page=content&id=KB87654)
+ Seguridad de puntos de conexión de Microsoft y [configuración del antivirus Microsoft Defender para máquinas VDI no persistentes - Microsoft Tech Community](https://techcommunity.microsoft.com/t5/microsoft-defender-for-endpoint/configuring-microsoft-defender-antivirus-for-non-persistent-vdi/ba-p/1489633)

## Exclusiones de análisis
<a name="scanning-exclusions"></a>

 Si el software de seguridad está instalado en WorkSpaces las instancias de aplicaciones, el software de seguridad no debe interferir con los siguientes procesos. 

 *Tabla 6: El software de seguridad de los procesos de WorkSpaces aplicaciones no debe interferir con los siguientes procesos.* 


|  **Servicio**  |  **Processes**  | 
| --- | --- | 
|  AmazonCloudWatchAgent  |  «C:\$1Program Files\$1 Amazon\$1AmazonCloudWatchAgent\$1 start-amazon- cloudwatch-agent.exe»  | 
|  AmazonSSMAgent  |  «C:\$1Program Files\$1 Amazon\$1 SSM\$1 amazon-ssm-agent .exe»  | 
|  NICE DCV  |  "C:\$1Program Files\$1 NICE\$1 DCV\$1 Server\$1 bin\$1 dcvserver.exe" "C:\$1Program Files\$1 NICE\$1 DCV\$1 Server\$1 bin\$1 dcvagent.exe"  | 
|  WorkSpaces Aplicaciones  |   «C:\$1Program Files\$1 Amazon\$1 AppStream 2\$1StorageConnector\$1 StorageConnector .exe»   En la carpeta "C:\$1Program Files\$1Amazon\$1Photon\$1"   ». \$1 Agente\$1 PhotonAgent .exe»  ".\$1Agent\$1s5cmd.exe"  ». \$1WebServer\$1 PhotonAgentWebServer .exe»  ». \$1CustomShell\$1 PhotonWindowsAppSwitcher .exe»  ». \$1CustomShell\$1 PhotonWindowsCustomShell .exe»  ». \$1CustomShell\$1 PhotonWindowsCustomShellBackground .exe»   | 

## Carpetas
<a name="folders"></a>

 Si el software de seguridad está instalado en WorkSpaces las instancias de aplicaciones, el software no debe interferir con las siguientes carpetas: 

**Example**  

```
    C:\Program Files\Amazon\* 
    C:\ProgramData\Amazon\* 
    C:\Program Files (x86)\AWS Tools\* 
    C:\Program Files (x86)\AWS SDK for .NET\* 
    C:\Program Files\NICE\* 
    C:\ProgramData\NICE\* 
    C:\AppStream\*
```

## Higiene de la consola de seguridad para puntos de conexión
<a name="endpoint-security-console-hygiene"></a>

WorkSpaces Las aplicaciones crearán nuevas instancias únicas cada vez que un usuario se conecte una vez superados los tiempos de inactividad y desconexión. Las instancias tendrán un nombre único y se acumularán en las consolas de administración de la seguridad de los puntos de conexión. Si se eliminan las máquinas antiguas no utilizadas que tengan más de 4 o más días (o menos, según los tiempos de espera de WorkSpaces las sesiones de las aplicaciones), se reducirá al mínimo el número de instancias caducadas en la consola.

# Exclusiones de red
<a name="network-exclusions"></a>

 Ninguna solución de seguridad, firewall o antivirus de las instancias de WorkSpaces Applications debe bloquear el rango de la red de administración de WorkSpaces aplicaciones (`198.19.0.0/16`) y los siguientes puertos y direcciones. 

 *Tabla 7: Los puertos de las instancias de streaming de WorkSpaces aplicaciones con los que el software de seguridad no debe interferir* 


|  **Puerto**  |   **Uso**   | 
| --- | --- | 
|  8300  |   Se utiliza para establecer la conexión de transmisión   | 
|  3128  |  Esto se usa para administrar la instancia de transmisión por parte WorkSpaces de las aplicaciones  | 
|  8000  |   Esto se usa para administrar la instancia de transmisión por parte de WorkSpaces las aplicaciones   | 
|  8443  |   Esto se usa para administrar la instancia de transmisión por parte WorkSpaces de las aplicaciones   | 
|  53  |   DNS   | 

 *Tabla 8: WorkSpaces Aplicaciones, direcciones de servicios gestionados, con las que el software de seguridad no debe interferir* 


|  **Puerto**  |  **Uso**  | 
| --- | --- | 
|  169.254.169.123  |  NTP  | 
|  169,254,16249  |  Servicio de licencias NVIDIA GRID  | 
|  169,254,16250  |  KMS  | 
|  169,254,16251  |  KMS  | 
|  169,254,16253  |  DNS  | 
|  169,254,16254  |  Metadatos  | 

# Cómo proteger una sesión de aplicaciones WorkSpaces
<a name="securing-session"></a>

## Limitar los controles de las aplicaciones y del sistema operativo
<a name="limiting-application-and-operating-system-controls"></a>

 WorkSpaces Las aplicaciones permiten al administrador especificar exactamente qué aplicaciones se pueden iniciar desde la página web en el modo de transmisión de aplicaciones. Sin embargo, esto no garantiza que solo se puedan ejecutar las aplicaciones especificadas. 

 Las utilidades y aplicaciones de Windows se pueden iniciar a través del sistema operativo a través de medios adicionales. AWS recomienda utilizar [https://aws.amazon.com/blogs/desktop-and-application-streaming/using-microsoft-applocker-to-manage-application-experience-on-amazon-appstream-2-0/](https://aws.amazon.com/blogs/desktop-and-application-streaming/using-microsoft-applocker-to-manage-application-experience-on-amazon-appstream-2-0/) para garantizar que solo se puedan ejecutar las aplicaciones que su organización necesita. Las reglas predeterminadas permiten a todos los usuarios acceder a los directorios críticos del sistema, así que deben modificarse. 

**nota**  
 Windows Server 2016 y 2019 requieren que el servicio de identidad de aplicaciones de Windows esté en ejecución para hacer cumplir AppLocker las reglas. El acceso a WorkSpaces las aplicaciones desde las aplicaciones que utilizan Microsoft AppLocker se detalla en la [Guía de AppStream administración.](https://docs.aws.amazon.com/appstream2/latest/developerguide/data-protection.html#application-access) 

 En el caso de las instancias de flota unidas a un dominio de Active Directory, utilice Group Policy Objects (GPOs) para proporcionar la configuración del usuario y del sistema a fin de proteger el acceso de los usuarios a las aplicaciones y los recursos. 

# Firewalls y enrutamiento
<a name="firewalls-routing"></a>

 Al crear una flota de WorkSpaces aplicaciones, se deben asignar subredes y un grupo de seguridad. Las subredes tienen asignaciones existentes de listas de control de acceso a la red (NACLs) y tablas de rutas. Puede asociar [hasta cinco grupos de seguridad](https://docs.aws.amazon.com/appstream2/latest/developerguide/managing-network-security-groups.html) al lanzar un nuevo generador de imágenes o al crear una nueva flota. Los grupos de seguridad pueden tener hasta [cinco asignaciones de los grupos de seguridad existentes](https://docs.aws.amazon.com/appstream2/latest/developerguide/managing-network-security-groups.html). En cada grupo de seguridad, es necesario añadir reglas que controlan el tráfico de red entrante y saliente de las instancias

Una ACL de red es una capa de seguridad opcional para la VPC que actúa como un firewall apátrida a fin de controlar el tráfico dentro y fuera de una o más subredes. Puede configurar una red ACLs con reglas similares a las de sus grupos de seguridad para añadir una capa de seguridad adicional a su VPC. Para obtener más información sobre las diferencias entre los grupos de seguridad y la red ACLs, consulte [la NACLs página de comparación de grupos y grupos de seguridad](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html#VPC_Security_Comparison).

Al diseñar y aplicar las reglas de Grupo de seguridad y de ACL de red, tenga en cuenta las prácticas recomendadas de AWS Well-Architected en materia de privilegios mínimos. El *privilegio mínimo* es un principio que consiste en conceder únicamente los permisos necesarios para completar una tarea.

Para los clientes que tienen una red privada de alta velocidad que conecta su entorno local a AWS (mediante AWS Direct Connect), podrían considerar la posibilidad de utilizar los puntos de enlace de la VPC AppStream, lo que significará que el tráfico de streaming se enrutará a través de la conectividad de su red privada en lugar de ir a través de la Internet pública. Para obtener más información sobre este tema, consulte la sección Punto final de VPC de la interfaz de streaming de WorkSpaces aplicaciones de este documento.

# Prevención de pérdida de datos
<a name="data-loss-prevention"></a>

Analizaremos dos tipos de prevención de pérdida de datos.

## Controles de transferencia de datos de cliente a instancia AppStream 2.0
<a name="client-to-AppStream-instance-data-transfer-controls"></a>

 *Tabla 9: Guía para controlar la entrada y salida de datos* 


|  **Opción**  |  **Opciones**  |  **Indicaciones**  | 
| --- | --- | --- | 
|  Portapapeles  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/appstream2/latest/developerguide/data-loss-prevention.html)  |  Al deshabilitar esta configuración, no se deshabilita la función de copiar y pegar dentro de la sesión. Si es necesario copiar datos en la sesión, seleccione Pegar solo en sesión remota para minimizar la posibilidad de que se produzcan fugas de datos.  | 
|  File transfer  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/appstream2/latest/developerguide/data-loss-prevention.html)  |  Evite activar esta configuración para evitar la fuga de datos.  | 
|  Imprima en un dispositivo local  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/appstream2/latest/developerguide/data-loss-prevention.html)  |  Si es necesario imprimir, utilice impresoras mapeadas en red que su organización controle y supervise.  | 

 Tenga en cuenta las ventajas de la solución de transferencia de datos organizativa existente en comparación con la configuración de pila. Estas configuraciones no están diseñadas para reemplazar una solución integral de transferencia de datos segura. 

# Control del tráfico de salida
<a name="controlling-egress-traffic"></a>

Cuando la pérdida de datos es un problema, es importante ocultar a qué puede acceder un usuario una vez que se encuentra dentro de su instancia de WorkSpaces aplicaciones. ¿Qué aspecto tiene la ruta de salida (o salida) de la red? Es un requisito habitual que el usuario final disponga de acceso público a Internet desde su instancia de WorkSpaces aplicaciones, por lo que se debe considerar la posibilidad de colocar una solución de filtrado de contenido WebProxy o una solución de filtrado de contenido en la ruta de la red. Otras consideraciones incluyen una aplicación antivirus local y otras medidas de seguridad para terminales integradas en la AppStream instancia (consulte la sección «Seguridad de terminales y antivirus» para obtener más información).

# Uso de AWS los servicios
<a name="using-services"></a>

## AWS Identity and Access Management
<a name="aws-identity-and-access-management"></a>

 Se recomienda utilizar un rol de IAM para acceder a los AWS servicios y especificar la política de IAM correspondiente, ya que solo los usuarios de WorkSpaces las sesiones de aplicaciones tienen acceso sin tener que gestionar credenciales adicionales. Siga las [https://docs.aws.amazon.com/appstream2/latest/developerguide/using-iam-roles-to-grant-permissions-to-applications-scripts-streaming-instances.html#best-practices-for-using-iam-role-with-streaming-instances](https://docs.aws.amazon.com/appstream2/latest/developerguide/using-iam-roles-to-grant-permissions-to-applications-scripts-streaming-instances.html#best-practices-for-using-iam-role-with-streaming-instances) con las aplicaciones. WorkSpaces 

 Cree [https://docs.aws.amazon.com/appstream2/latest/developerguide/s3-iam-policy.html](https://docs.aws.amazon.com/appstream2/latest/developerguide/s3-iam-policy.html) que se crean para conservar los datos de los usuarios tanto en las carpetas de inicio como en la persistencia de la configuración de la aplicación. Esto [https://docs.aws.amazon.com/appstream2/latest/developerguide/s3-iam-policy.html#s3-iam-policy-restricted-access](https://docs.aws.amazon.com/appstream2/latest/developerguide/s3-iam-policy.html#s3-iam-policy-restricted-access). 

## Puntos de conexión de VPC
<a name="vpc-endpoints-1"></a>

 Un punto de enlace de VPC permite conexiones privadas entre su VPC y los servicios compatibles AWS y los servicios de punto final de VPC con tecnología. AWS PrivateLink AWS PrivateLink es una tecnología que le permite acceder de forma privada a los servicios mediante direcciones IP privadas. El tráfico entre su VPC y el otro servicio no sale de la red de Amazon. Si el acceso público a Internet solo es necesario para AWS los servicios, los puntos de enlace de VPC eliminan por completo la necesidad de puertas de enlace NAT y puertas de enlace de Internet. 

 En entornos en los que las rutinas de automatización o los desarrolladores requieran realizar llamadas a la API para WorkSpaces las aplicaciones, [https://docs.aws.amazon.com/appstream2/latest/developerguide/access-api-cli-through-interface-vpc-endpoint.html](https://docs.aws.amazon.com/appstream2/latest/developerguide/access-api-cli-through-interface-vpc-endpoint.html). [https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateStreamingURL.html](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateStreamingURL.html) El siguiente diagrama muestra un ejemplo de configuración en el que las funciones Lambda y las instancias EC2 consumen la API de WorkSpaces aplicaciones y los puntos finales de VPC de streaming. 

![\[Un diagrama de arquitectura de referencia para el punto de conexión de la VPC\]](http://docs.aws.amazon.com/es_es/appstream2/latest/developerguide/images/vpc-endpoint.jpeg)


 *Punto de conexión VPC* 

 El punto de conexión de VPC de transmisión le permite transmitir sesiones a través de un punto de conexión de VPC. El punto de enlace de interfaz de transmisión mantiene el tráfico de transmisión en la VPC. El tráfico de transmisión incluye el tráfico de píxeles, USB, entradas de usuario, audio, portapapeles, carga y descarga de archivos e impresoras. Para usar el punto de enlace de la VPC, la configuración del punto de enlace de la VPC debe estar habilitada en la pila de aplicaciones. WorkSpaces Esto sirve como alternativa a la transmisión de las sesiones de los usuarios a través de la Internet pública desde ubicaciones que tienen acceso limitado a Internet y que se beneficiarían del acceso a través de una instancia de Direct Connect. La transmisión de sesiones de usuario a través de un punto de conexión de VPC requiere lo siguiente: 
+  Los grupos de seguridad asociados con el punto de conexión de interfaz deben permitir el acceso de entrada al puerto `443` (TCP) y a los puertos `1400–1499` (TCP) desde el rango de direcciones IP desde el que se conecten los usuarios. 
+  La lista de control de acceso a la red para las subredes debe permitir el tráfico de salida desde los puertos de red efímeros `1024-65535` (TCP) hasta el rango de direcciones IP desde el que se conecten los usuarios. 
+  Se requiere conectividad a Internet para autenticar a los usuarios y entregar los activos web que WorkSpaces las aplicaciones necesitan para funcionar. 

 Para obtener más información sobre cómo restringir el tráfico a AWS los servicios con WorkSpaces aplicaciones, consulta la guía de administración para [https://docs.aws.amazon.com/appstream2/latest/developerguide/creating-streaming-from-interface-vpc-endpoints.html](https://docs.aws.amazon.com/appstream2/latest/developerguide/creating-streaming-from-interface-vpc-endpoints.html). 

 Cuando se requiere acceso público completo a Internet, se recomienda deshabilitar la Configuración de seguridad mejorada (ESC) de Internet Explorer en Image Builder. Para obtener más información, consulte la guía de administración de WorkSpaces aplicaciones para [https://docs.aws.amazon.com/appstream2/latest/developerguide/customize-fleets.html#customize-fleets-disable-ie-esc](https://docs.aws.amazon.com/appstream2/latest/developerguide/customize-fleets.html#customize-fleets-disable-ie-esc). 

## Configuración del servicio de metadatos de instancias (IMDS) en sus instancias
<a name="configuring-imds"></a>

En este tema se describe el servicio de metadatos de instancias (IMDS).

Los *metadatos de instancia* son datos relacionados con una instancia de Amazon Elastic Compute Cloud (Amazon EC2) que las aplicaciones pueden utilizar para configurar o administrar la instancia de ejecución. El servicio de metadatos de instancia (IMDS) es un componente de la instancia que utiliza el código de instancia para acceder de forma segura a los metadatos de la instancia. Para obtener más información, consulte [Metadatos de instancia y datos de usuario](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-metadata.html) en la *Guía del usuario de Amazon EC2*.

El código puede acceder a los metadatos de la instancia desde una instancia en ejecución mediante uno de estos dos métodos: la versión 1 (IMDSv1) del servicio de metadatos de la instancia o la versión 2 (IMDSv2) del servicio de metadatos de la instancia. IMDSv2 utiliza solicitudes orientadas a la sesión y mitiga varios tipos de vulnerabilidades que podrían utilizarse para intentar acceder al IMDS. Para obtener más información sobre estos dos métodos, consulte [Configuración del servicio de metadatos de instancia](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-service.html) en la *Guía del usuario de Amazon EC2*.

### Soporte de recursos para el IMDS
<a name="imds-resource-support"></a>

Las flotas siempre activas, bajo demanda, de sesión única y multisesión, y todos los generadores de imágenes son compatibles tanto IMDSv1 con la ejecución de imágenes de WorkSpaces aplicaciones como IMDSv2 cuando se ejecutan con la versión del agente o la actualización de imágenes gestionada publicada el 16 de enero de 2024 o después.

Las instancias de Elastic Fleets y AppBlock Builders también son compatibles con y. IMDSv1 IMDSv2

### Ejemplo de configuración de atributos de IMDS
<a name="imds-examples"></a>

A continuación se muestran dos ejemplos de cómo elegir el método IMDS:

#### Ejemplo de SDK para Java v2
<a name="java-sdk-example"></a>

A continuación se muestra un ejemplo de solicitud de inhabilitación IMDSv1 mediante `disableIMDSV1` atributos

```
CreateFleetRequest request = CreateFleetRequest.builder()
 .name("TestFleet")
 .imageArn("arn:aws:appstream:us-east-1::image/TestImage")
 .instanceType("stream.standard.large")
 .fleetType(FleetType.ALWAYS_ON)
 .computeCapacity(ComputeCapacity.builder()
 .desiredInstances(5)
 .build())
 .description("Test fleet description")
 .displayName("Test Fleet Display Name")
 .enableDefaultInternetAccess(true)
 .maxUserDurationInSeconds(3600)
 .disconnectTimeoutInSeconds(900)
 .idleDisconnectTimeoutInSeconds(600)
 .iamRoleArn("arn:aws:iam::123456789012:role/TestRole")
 .streamView(StreamView.APP)
 .platform(PlatformType.WINDOWS)
 .maxConcurrentSessions(10)
 .maxSessionsPerInstance(2)
 .tags(tags)
 .disableIMDSV1(true)
 .build();
```

Establezca **disable IMDSV1** en true para deshabilitar IMDSv1 y hacer cumplir IMDSv2.

IMDSV1Establezca **disable** en false para habilitar ambos IMDSv1 IMDSv2.

#### Ejemplo de la CLI
<a name="cli-example"></a>

En el siguiente ejemplo, solicite la desactivación IMDSv1 mediante `--disable-imdsv1` atributos.

```
aws appstream create-fleet --name test-fleet --image-arn "arn:aws:appstream:us-east-1::image/test-image" --disable-imdsv1 --instance-type stream.standard.small --compute-capacity DesiredInstances=2 --max-user-duration-in-seconds 57600 --disconnect-timeout-in-seconds 57600 --region us-east-1
```

`--disable-imdsv1`Configúrelo en true para deshabilitar IMDSv1 y hacer cumplir IMDSv2.

`--no-disable-imdsv1`Configúrelo en falso para habilitar ambos IMDSv1 IMDSv2.