Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Protection des données dans les WorkSpaces applications Amazon
Le [modèle de responsabilité AWS partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) de s'applique à la protection des données dans Amazon WorkSpaces Applications. Comme décrit dans ce modèle, AWS est chargé de protéger l'infrastructure mondiale qui gère tous les AWS Cloud. La gestion du contrôle de votre contenu hébergé sur cette infrastructure relève de votre responsabilité. Ce contenu comprend les tâches de configuration et de gestion de la sécurité des Services AWS que vous utilisez. Pour en savoir plus sur la confidentialité des données, consultez [Questions fréquentes (FAQ) sur la confidentialité des données](https://aws.amazon.com/compliance/data-privacy-faq). Pour en savoir plus sur la protection des données en Europe, consultez le billet de blog Modèle de responsabilité partagée [AWS et RGPD (Règlement général sur la protection des données)](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) sur le *AWS Blog de sécurité*.
À des fins de protection des données, nous vous recommandons de protéger les Compte AWS informations d'identification et de configurer les utilisateurs individuels avec Gestion des identités et des accès AWS (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :
+ Utilisez l’authentification multifactorielle (MFA) avec chaque compte.
+ SSL/TLS À utiliser pour communiquer avec AWS les ressources. Nous recommandons TLS 1.2.
+ Configurez l'API et la journalisation de l'activité des utilisateurs avec AWS CloudTrail.
+ Utilisez des solutions de AWS chiffrement, ainsi que tous les contrôles de sécurité par défaut au sein AWS des services.
+ Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données personnelles stockées dans Amazon S3.
+ Si vous avez besoin de modules cryptographiques validés par la norme FIPS 140-2 pour accéder AWS via une interface de ligne de commande ou une API, utilisez un point de terminaison FIPS. Pour en savoir plus sur les points de terminaison FIPS (Federal Information Processing Standard) disponibles, consultez [Norme de traitement de l'information fédérale (Federal Information Processing Standard (FIPS)) 140-2](https://aws.amazon.com/compliance/fips/).
Nous vous recommandons vivement de ne jamais placer d'informations confidentielles ou sensibles, telles que des adresses électroniques de vos clients, dans des balises ou des champs de forme libre tels qu'un champ **Nom**. Cela inclut lorsque vous travaillez avec des WorkSpaces applications ou d'autres AWS services à l'aide de la console AWS CLI, de l'API ou AWS SDKs. Toutes les données que vous saisissez dans des identifications ou des champs de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez une URL à un serveur externe, nous vous recommandons fortement de ne pas inclure d'informations d'identification dans l'URL pour valider votre demande au serveur.
**Topics**
+ [Chiffrement au repos](encryption-rest.md)
+ [Chiffrement en transit](encryption-transit.md)
+ [Contrôles de l'administrateur](administrator-controls.md)
+ [Accès aux applications](application-access.md)
# Chiffrement au repos
WorkSpaces Les instances du parc d'applications sont de nature éphémère. Une fois la session de streaming d’un utilisateur terminée, l’instance sous-jacente et son volume Amazon Elastic Block Store (Amazon EBS) associé sont résiliés. En outre, WorkSpaces Applications recycle régulièrement les instances non utilisées pour les rafraîchir.
Lorsque vous activez [la persistance des paramètres des applications](how-it-works-app-settings-persistence.md)[, des dossiers](home-folders-admin.md) [personnels, des scripts de session](enable-S3-bucket-storage-session-script-logs.md) ou [des rapports d'utilisation](enable-usage-reports.md) pour vos utilisateurs, les données générées par vos utilisateurs et stockées dans des compartiments Amazon Simple Storage Service sont chiffrées au repos. AWS Key Management Service est un service qui combine du matériel et des logiciels sécurisés et hautement disponibles pour fournir un système de gestion des clés adapté au cloud. Amazon S3 utilise [AWS Managed CMKs](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk) pour chiffrer les données de vos objets Amazon S3.
# Chiffrement en transit
Le tableau suivant fournit des informations sur le chiffrement des données en transit. Le cas échéant, d'autres méthodes de protection des données pour WorkSpaces les applications sont également répertoriées.
| Données | Chemin d'accès réseau | Type de protection |
| --- | --- | --- |
| Ressources Web Ce trafic inclut des actifs tels que des images et JavaScript des fichiers. | Entre les utilisateurs WorkSpaces des applications et WorkSpaces les applications | Chiffrement avec TLS 1.2 |
| Pixels et trafic de streaming associé | Entre les utilisateurs WorkSpaces des applications et WorkSpaces les applications | Chiffrement avec 256-bit Advanced Encryption Standard (AES-256) Transport avec TLS 1.2 |
| Trafic API | Entre les utilisateurs WorkSpaces des applications et WorkSpaces les applications | Chiffrement avec TLS 1.2 Les demandes de création de connexion sont signées avec SigV4 |
| Paramètres d'application et données du dossier de base générées par les utilisateurs Applicable si la persistance des paramètres d’application et les dossiers de base sont activés. | Entre les utilisateurs des WorkSpaces applications et Amazon S3 | Chiffrement avec des points de terminaison SSL Amazon S3 |
| WorkSpaces Trafic géré par les applications | Entre les instances de streaming d' WorkSpaces applications et : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/appstream2/latest/developerguide/encryption-transit.html) | Chiffrement avec TLS 1.2 Les demandes de création de connexion sont signées avec SigV4 le cas échéant |
# Contrôles de l'administrateur
WorkSpaces Applications fournit des contrôles administratifs que vous pouvez utiliser pour limiter les moyens par lesquels les utilisateurs peuvent transférer des données entre leur ordinateur local et une instance de parc d' WorkSpaces applications. Vous pouvez limiter ou désactiver les éléments suivants lorsque vous [créez ou mettez à jour une pile d' WorkSpaces applications](set-up-stacks-fleets-install.md) :
+ Presse-papiers/Actions copier et coller
+ Chargement et téléchargement de fichiers, y compris la redirection de dossiers et de lecteurs
+ Impression
Lorsque vous créez une image WorkSpaces Applications, vous pouvez spécifier les périphériques USB disponibles pour être redirigés vers les instances du parc d' WorkSpaces applications à partir du client WorkSpaces Applications pour Windows. Les périphériques USB que vous spécifiez pourront être utilisés pendant les sessions de streaming des WorkSpaces applications des utilisateurs. Pour de plus amples informations, veuillez consulter [Qualification des périphériques USB pour une utilisation avec des applications de streaming](qualify-usb-devices.md).
# Accès aux applications
Par défaut, WorkSpaces Applications permet aux applications que vous spécifiez dans votre image de lancer d'autres applications et des fichiers exécutables sur le générateur d'images et l'instance de flotte. On s’assure ainsi que les applications dépendantes d'autres applications (par exemple, une application qui lance le navigateur pour naviguer vers un site web de produit) fonctionnent comme prévu. Assurez-vous de configurer vos contrôles d'administration, groupes de sécurité et autres logiciels de sécurité pour accorder aux utilisateurs les autorisations minimales requises pour accéder aux ressources et transférer des données entre leurs ordinateurs locaux et les instances de flotte.
Vous pouvez utiliser un logiciel de contrôle des applications, tel que [Microsoft AppLocker](https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/applocker/applocker-overview), et des politiques pour contrôler les applications et les fichiers que vos utilisateurs peuvent exécuter. Les logiciels et politiques de contrôle des applications vous aident à contrôler les fichiers exécutables, les scripts, les fichiers d'installation Windows, les bibliothèques de liens dynamiques et les packages d'applications que vos utilisateurs peuvent exécuter sur les générateurs d'images d' WorkSpaces applications et les instances de parc.
**Note**
Le logiciel de l'agent WorkSpaces Applications s'appuie sur l'invite de commande Windows et Windows Powershell pour approvisionner les instances de streaming. Si vous choisissez d'empêcher les utilisateurs de lancer l'invite de commandes Windows ou Windows Powershell, les stratégies ne doivent pas s'appliquer à Windows NT AUTHORITY\$1SYSTEM ou aux utilisateurs du groupe des Administrateurs.
| Type de règle | Action | Utilisateur ou groupe Windows | Nom/Chemin | Condition | Description |
| --- | --- | --- | --- | --- | --- |
| Exécutable | Autorisation | NT AUTHORITY\$1Système | \$1 | Chemin | Nécessaire pour le logiciel de l'agent d' WorkSpaces applications |
| Exécutable | Autorisation | BUILTIN\$1Administrateurs | \$1 | Chemin | Nécessaire pour le logiciel de l'agent d' WorkSpaces applications |
| Exécutable | Autorisation | Tout le monde | %PROGRAMFILES%\$1nodejs\$1\$1 | Chemin | Nécessaire pour le logiciel de l'agent d' WorkSpaces applications |
| Exécutable | Autorisation | Tout le monde | %PROGRAMFILES%\$1NICE\$1\$1 | Chemin | Nécessaire pour le logiciel de l'agent d' WorkSpaces applications |
| Exécutable | Autorisation | Tout le monde | %PROGRAMFILES%\$1Amazon\$1\$1 | Chemin | Nécessaire pour le logiciel de l'agent d' WorkSpaces applications |
| Exécutable | Autorisation | Tout le monde | %PROGRAMFILES% \$1 < > \$1 \$1 default-browser | Chemin | Nécessaire pour le logiciel d'agent d' WorkSpaces applications lorsque des solutions de stockage persistantes, telles que Google Drive ou Microsoft OneDrive for Business, sont utilisées. Cette exception n'est pas requise lorsque WorkSpaces les dossiers d'accueil des applications sont utilisés. |