Protection des données dans Amazon AppStream 2.0 - Amazon AppStream 2.0
Chiffrement au reposChiffrement en transitContrôles de l'administrateurAccès aux applications

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Protection des données dans Amazon AppStream 2.0

Le modèle de responsabilité AWS partagée de s'applique à la protection des données dans Amazon AppStream 2.0. Comme décrit dans ce modèle, AWS est chargé de protéger l'infrastructure mondiale qui gère tous les AWS Cloud. La gestion du contrôle de votre contenu hébergé sur cette infrastructure relève de votre responsabilité. Ce contenu comprend les tâches de configuration et de gestion de la sécurité des AWS services que vous utilisez. Pour en savoir plus sur la confidentialité des données, consultez Questions fréquentes (FAQ) sur la confidentialité des données. Pour en savoir plus sur la protection des données en Europe, consultez le billet de blog Modèle de responsabilité partagée AWS et RGPD (Règlement général sur la protection des données) sur le Blog de sécuritéAWS .

À des fins de protection des données, nous vous recommandons de protéger les Compte AWS informations d'identification et de configurer les utilisateurs individuels avec AWS Identity and Access Management (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :

  • Utilisez l’authentification multifactorielle (MFA) avec chaque compte.

  • Utilisez le protocole SSL/TLS pour communiquer avec les ressources. AWS Nous recommandons TLS 1.2.

  • Configurez l'API et la journalisation de l'activité des utilisateurs avec AWS CloudTrail.

  • Utilisez des solutions de AWS chiffrement, ainsi que tous les contrôles de sécurité par défaut au sein AWS des services.

  • Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données personnelles stockées dans Amazon S3.

  • Si vous avez besoin de modules cryptographiques validés par la norme FIPS 140-2 pour accéder AWS via une interface de ligne de commande ou une API, utilisez un point de terminaison FIPS. Pour en savoir plus sur les points de terminaison FIPS (Federal Information Processing Standard) disponibles, consultez Norme de traitement de l'information fédérale (Federal Information Processing Standard (FIPS)) 140-2.

Nous vous recommandons vivement de ne jamais placer d'informations confidentielles ou sensibles, telles que des adresses électroniques de vos clients, dans des balises ou des champs de forme libre tels qu'un champ Nom. Cela inclut lorsque vous travaillez avec la AppStream version 2.0 ou d'autres AWS services à l'aide de la console, de l'API ou AWS des SDK. AWS CLI Toutes les données que vous saisissez dans des identifications ou des champs de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez une adresse URL à un serveur externe, nous vous recommandons fortement de ne pas inclure d'informations d'identification dans l'adresse URL permettant de valider votre demande adressée à ce serveur.

Chiffrement au repos

AppStream Les instances de flotte 2.0 sont de nature éphémère. Une fois la session de streaming d’un utilisateur terminée, l’instance sous-jacente et son volume Amazon Elastic Block Store (Amazon EBS) associé sont résiliés. De plus, la AppStream version 2.0 recycle régulièrement les instances non utilisées pour les rafraîchir.

Lorsque vous activez la persistance des paramètres des applications, des dossiers personnels, des scripts de session ou des rapports d'utilisation pour vos utilisateurs, les données générées par vos utilisateurs et stockées dans des compartiments Amazon Simple Storage Service sont chiffrées au repos. AWS Key Management Service est un service qui combine du matériel et des logiciels sécurisés et hautement disponibles pour fournir un système de gestion des clés adapté au cloud. Amazon S3 utilise des clés CMK gérées par AWS pour chiffrer les données des objets Amazon S3.

Chiffrement en transit

Le tableau suivant fournit des informations sur le chiffrement des données en transit. Le cas échéant, d'autres méthodes de protection des données pour la AppStream version 2.0 sont également répertoriées.

Données Chemin d'accès réseau Type de protection

Ressources Web

Ce trafic inclut des actifs tels que des images et JavaScript des fichiers.

Entre AppStream 2.0 utilisateurs et AppStream 2.0

 Chiffrement avec TLS 1.2
Pixels et trafic de streaming associé Entre AppStream 2.0 utilisateurs et AppStream 2.0

Chiffrement avec 256-bit Advanced Encryption Standard (AES-256)

Transport avec TLS 1.2
Trafic API Entre AppStream 2.0 utilisateurs et AppStream 2.0

Chiffrement avec TLS 1.2

Les demandes de création de connexion sont signées avec SigV4

Paramètres d'application et données du dossier de base générées par les utilisateurs

Applicable si la persistance des paramètres d’application et les dossiers de base sont activés.

 Entre les utilisateurs AppStream 2.0 et Amazon S3 Chiffrement avec des points de terminaison SSL Amazon S3
AppStream Trafic géré en version 2.0

Entre les instances de streaming AppStream 2.0 et :

  • AppStream services de gestion 2.0

  • AWS services et ressources de votre compte Amazon Web Services

  • Ressources et AWS services non liés (tels que Google Drive et Microsoft OneDrive)

Chiffrement avec TLS 1.2

Les demandes de création de connexion sont signées avec SigV4 le cas échéant

Contrôles de l'administrateur

AppStream La version 2.0 fournit des contrôles administratifs que vous pouvez utiliser pour limiter les moyens par lesquels les utilisateurs peuvent transférer des données entre leur ordinateur local et une instance de flotte AppStream 2.0. Vous pouvez limiter ou désactiver les éléments suivants lorsque vous créez ou mettez à jour une pile AppStream 2.0 :

  • Presse-papiers/Actions copier et coller

  • Chargement et téléchargement de fichiers, y compris la redirection de dossiers et de lecteurs

  • Impression

Lorsque vous créez une image AppStream 2.0, vous pouvez spécifier les périphériques USB disponibles pour être redirigés vers des instances de flotte AppStream 2.0 à partir du client AppStream 2.0 pour Windows. Les périphériques USB que vous spécifiez pourront être utilisés pendant les sessions de streaming AppStream 2.0 des utilisateurs. Pour plus d’informations, consultez USBQualifier les appareils à utiliser avec les applications de streaming.

Accès aux applications

Par défaut, la AppStream version 2.0 permet aux applications que vous spécifiez dans votre image de lancer d'autres applications et fichiers exécutables sur le générateur d'images et l'instance de flotte. On s’assure ainsi que les applications dépendantes d'autres applications (par exemple, une application qui lance le navigateur pour naviguer vers un site web de produit) fonctionnent comme prévu. Assurez-vous de configurer vos contrôles d'administration, groupes de sécurité et autres logiciels de sécurité pour accorder aux utilisateurs les autorisations minimales requises pour accéder aux ressources et transférer des données entre leurs ordinateurs locaux et les instances de flotte.

Vous pouvez utiliser un logiciel de contrôle des applications, tel que Microsoft AppLocker, et des politiques pour contrôler les applications et les fichiers que vos utilisateurs peuvent exécuter. Les logiciels et politiques de contrôle des applications vous aident à contrôler les fichiers exécutables, les scripts, les fichiers d'installation Windows, les bibliothèques de liens dynamiques et les packages d'applications que vos utilisateurs peuvent exécuter sur les générateurs d'images et les instances de parc AppStream 2.0.

Note

Le logiciel agent AppStream 2.0 s'appuie sur l'invite de commande Windows et Windows Powershell pour approvisionner les instances de streaming. Si vous choisissez d'empêcher les utilisateurs de lancer l'invite de commandes Windows ou Windows Powershell, les stratégies ne doivent pas s'appliquer à Windows NT AUTHORITY\SYSTEM ou aux utilisateurs du groupe des Administrateurs.

Type de règle Action Utilisateur ou groupe Windows Nom/Chemin Condition Description
Exécutable Autorisation NT AUTHORITY\Système * Chemin Nécessaire pour le logiciel d'agent AppStream 2.0
Exécutable Autorisation BUILTIN\Administrateurs * Chemin Nécessaire pour le logiciel d'agent AppStream 2.0
Exécutable Autorisation Tout le monde %PROGRAMFILES%\nodejs\* Chemin Nécessaire pour le logiciel d'agent AppStream 2.0
Exécutable Autorisation Tout le monde %PROGRAMFILES%\NICE\* Chemin Nécessaire pour le logiciel d'agent AppStream 2.0
Exécutable Autorisation Tout le monde %PROGRAMFILES%\Amazon\* Chemin Nécessaire pour le logiciel d'agent AppStream 2.0
Exécutable Autorisation Tout le monde %PROGRAMFILES%\<navigateur par défaut>\* Chemin Nécessaire pour le logiciel agent AppStream 2.0 lorsque des solutions de stockage persistantes, telles que Google Drive ou Microsoft OneDrive for Business, sont utilisées. Cette exception n'est pas requise lorsque des dossiers de base AppStream 2.0 sont utilisés.