Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Sécurité dans les WorkSpaces applications Amazon
<a name="security"></a>

La sécurité du cloud AWS est la priorité absolue. En tant que AWS client, vous bénéficiez d'un centre de données et d'une architecture réseau conçus pour répondre aux exigences des entreprises les plus sensibles en matière de sécurité.

La sécurité est une responsabilité partagée entre vous AWS et vous. Le [modèle de responsabilité partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) décrit ceci comme la sécurité du cloud et la sécurité dans le cloud :
+ **Sécurité du cloud** : AWS est chargée de protéger l'infrastructure qui exécute les AWS services dans le AWS cloud. AWS vous fournit également des services que vous pouvez utiliser en toute sécurité. Des auditeurs tiers testent et vérifient régulièrement l'efficacité de notre sécurité dans le cadre des programmes de [AWS conformité Programmes](https://aws.amazon.com/compliance/programs/) de de conformité. Pour plus d'informations sur les programmes de conformité qui s'appliquent aux WorkSpaces applications, voir [AWS Services concernés par programme de conformitéAWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Sécurité dans le cloud** — Votre responsabilité est déterminée par le AWS service que vous utilisez. Vous êtes également responsable d’autres facteurs, y compris la sensibilité de vos données, les exigences de votre entreprise et la législation et la réglementation applicables. 

Cette documentation vous aide à comprendre comment appliquer le modèle de responsabilité partagée lors de l'utilisation WorkSpaces des applications. Il vous montre comment configurer les WorkSpaces applications pour atteindre vos objectifs de sécurité et de conformité. Vous apprendrez également à utiliser d'autres AWS services qui vous aident à surveiller et à sécuriser les ressources de vos WorkSpaces applications.

**Topics**
+ [Protection des données dans les WorkSpaces applications Amazon](data-protection.md)
+ [Identity and Access Management pour les WorkSpaces applications Amazon](controlling-access.md)
+ [Journalisation et surveillance dans les WorkSpaces applications Amazon](logging-monitoring-alerting.md)
+ [Validation de conformité pour les WorkSpaces applications Amazon](compliance-validation.md)
+ [Résilience dans WorkSpaces les applications Amazon](disaster-recovery-resiliency.md)
+ [Sécurité de l'infrastructure dans les WorkSpaces applications Amazon](infrastructure-security.md)
+ [Groupes de sécurité dans les WorkSpaces applications Amazon](managing-network-security-groups.md)
+ [Gestion des mises à jour dans Amazon WorkSpaces Applications](update-management.md)
+ [Amazon WorkSpaces Applications Cross-Service : prévention de la confusion chez les adjoints](confused-deputy.md)
+ [Bonnes pratiques en matière de sécurité dans WorkSpaces les applications Amazon](security-best-practices.md)

# Protection des données dans les WorkSpaces applications Amazon
<a name="data-protection"></a>

Le [modèle de responsabilité AWS partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) de s'applique à la protection des données dans Amazon WorkSpaces Applications. Comme décrit dans ce modèle, AWS est chargé de protéger l'infrastructure mondiale qui gère tous les AWS Cloud. La gestion du contrôle de votre contenu hébergé sur cette infrastructure relève de votre responsabilité. Ce contenu comprend les tâches de configuration et de gestion de la sécurité des Services AWS que vous utilisez. Pour en savoir plus sur la confidentialité des données, consultez [Questions fréquentes (FAQ) sur la confidentialité des données](https://aws.amazon.com/compliance/data-privacy-faq). Pour en savoir plus sur la protection des données en Europe, consultez le billet de blog Modèle de responsabilité partagée [AWS et RGPD (Règlement général sur la protection des données)](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) sur le *AWS Blog de sécurité*.

À des fins de protection des données, nous vous recommandons de protéger les Compte AWS informations d'identification et de configurer les utilisateurs individuels avec Gestion des identités et des accès AWS (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :
+ Utilisez l’authentification multifactorielle (MFA) avec chaque compte.
+  SSL/TLS À utiliser pour communiquer avec AWS les ressources. Nous recommandons TLS 1.2.
+ Configurez l'API et la journalisation de l'activité des utilisateurs avec AWS CloudTrail.
+ Utilisez des solutions de AWS chiffrement, ainsi que tous les contrôles de sécurité par défaut au sein AWS des services.
+ Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données personnelles stockées dans Amazon S3.
+ Si vous avez besoin de modules cryptographiques validés par la norme FIPS 140-2 pour accéder AWS via une interface de ligne de commande ou une API, utilisez un point de terminaison FIPS. Pour en savoir plus sur les points de terminaison FIPS (Federal Information Processing Standard) disponibles, consultez [Norme de traitement de l'information fédérale (Federal Information Processing Standard (FIPS)) 140-2](https://aws.amazon.com/compliance/fips/).

Nous vous recommandons vivement de ne jamais placer d'informations confidentielles ou sensibles, telles que des adresses électroniques de vos clients, dans des balises ou des champs de forme libre tels qu'un champ **Nom**. Cela inclut lorsque vous travaillez avec des WorkSpaces applications ou d'autres AWS services à l'aide de la console AWS CLI, de l'API ou AWS SDKs. Toutes les données que vous saisissez dans des identifications ou des champs de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez une URL à un serveur externe, nous vous recommandons fortement de ne pas inclure d'informations d'identification dans l'URL pour valider votre demande au serveur.

**Topics**
+ [Chiffrement au repos](encryption-rest.md)
+ [Chiffrement en transit](encryption-transit.md)
+ [Contrôles de l'administrateur](administrator-controls.md)
+ [Accès aux applications](application-access.md)

# Chiffrement au repos
<a name="encryption-rest"></a>

WorkSpaces Les instances du parc d'applications sont de nature éphémère. Une fois la session de streaming d’un utilisateur terminée, l’instance sous-jacente et son volume Amazon Elastic Block Store (Amazon EBS) associé sont résiliés. En outre, WorkSpaces Applications recycle régulièrement les instances non utilisées pour les rafraîchir.

Lorsque vous activez [la persistance des paramètres des applications](how-it-works-app-settings-persistence.md)[, des dossiers](home-folders-admin.md) [personnels, des scripts de session](enable-S3-bucket-storage-session-script-logs.md) ou [des rapports d'utilisation](enable-usage-reports.md) pour vos utilisateurs, les données générées par vos utilisateurs et stockées dans des compartiments Amazon Simple Storage Service sont chiffrées au repos. AWS Key Management Service est un service qui combine du matériel et des logiciels sécurisés et hautement disponibles pour fournir un système de gestion des clés adapté au cloud. Amazon S3 utilise [AWS Managed CMKs](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk) pour chiffrer les données de vos objets Amazon S3.

# Chiffrement en transit
<a name="encryption-transit"></a>

Le tableau suivant fournit des informations sur le chiffrement des données en transit. Le cas échéant, d'autres méthodes de protection des données pour WorkSpaces les applications sont également répertoriées.


| Données | Chemin d'accès réseau | Type de protection | 
| --- | --- | --- | 
|  Ressources Web Ce trafic inclut des actifs tels que des images et JavaScript des fichiers.  |  Entre les utilisateurs WorkSpaces des applications et WorkSpaces les applications  | Chiffrement avec TLS 1.2 | 
| Pixels et trafic de streaming associé | Entre les utilisateurs WorkSpaces des applications et WorkSpaces les applications |  Chiffrement avec 256-bit Advanced Encryption Standard (AES-256) Transport avec TLS 1.2  | 
| Trafic API | Entre les utilisateurs WorkSpaces des applications et WorkSpaces les applications |  Chiffrement avec TLS 1.2 Les demandes de création de connexion sont signées avec SigV4  | 
| Paramètres d'application et données du dossier de base générées par les utilisateurs Applicable si la persistance des paramètres d’application et les dossiers de base sont activés.  | Entre les utilisateurs des WorkSpaces applications et Amazon S3 | Chiffrement avec des points de terminaison SSL Amazon S3 | 
| WorkSpaces Trafic géré par les applications |  Entre les instances de streaming d' WorkSpaces applications et : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/appstream2/latest/developerguide/encryption-transit.html)  | Chiffrement avec TLS 1.2 Les demandes de création de connexion sont signées avec SigV4 le cas échéant | 

# Contrôles de l'administrateur
<a name="administrator-controls"></a>

WorkSpaces Applications fournit des contrôles administratifs que vous pouvez utiliser pour limiter les moyens par lesquels les utilisateurs peuvent transférer des données entre leur ordinateur local et une instance de parc d' WorkSpaces applications. Vous pouvez limiter ou désactiver les éléments suivants lorsque vous [créez ou mettez à jour une pile d' WorkSpaces applications](set-up-stacks-fleets-install.md) :
+ Presse-papiers/Actions copier et coller
+ Chargement et téléchargement de fichiers, y compris la redirection de dossiers et de lecteurs
+ Impression

Lorsque vous créez une image WorkSpaces Applications, vous pouvez spécifier les périphériques USB disponibles pour être redirigés vers les instances du parc d' WorkSpaces applications à partir du client WorkSpaces Applications pour Windows. Les périphériques USB que vous spécifiez pourront être utilisés pendant les sessions de streaming des WorkSpaces applications des utilisateurs. Pour de plus amples informations, veuillez consulter [Qualification des périphériques USB pour une utilisation avec des applications de streaming](qualify-usb-devices.md).

# Accès aux applications
<a name="application-access"></a>

Par défaut, WorkSpaces Applications permet aux applications que vous spécifiez dans votre image de lancer d'autres applications et des fichiers exécutables sur le générateur d'images et l'instance de flotte. On s’assure ainsi que les applications dépendantes d'autres applications (par exemple, une application qui lance le navigateur pour naviguer vers un site web de produit) fonctionnent comme prévu. Assurez-vous de configurer vos contrôles d'administration, groupes de sécurité et autres logiciels de sécurité pour accorder aux utilisateurs les autorisations minimales requises pour accéder aux ressources et transférer des données entre leurs ordinateurs locaux et les instances de flotte.

Vous pouvez utiliser un logiciel de contrôle des applications, tel que [Microsoft AppLocker](https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/applocker/applocker-overview), et des politiques pour contrôler les applications et les fichiers que vos utilisateurs peuvent exécuter. Les logiciels et politiques de contrôle des applications vous aident à contrôler les fichiers exécutables, les scripts, les fichiers d'installation Windows, les bibliothèques de liens dynamiques et les packages d'applications que vos utilisateurs peuvent exécuter sur les générateurs d'images d' WorkSpaces applications et les instances de parc.

**Note**  
Le logiciel de l'agent WorkSpaces Applications s'appuie sur l'invite de commande Windows et Windows Powershell pour approvisionner les instances de streaming. Si vous choisissez d'empêcher les utilisateurs de lancer l'invite de commandes Windows ou Windows Powershell, les stratégies ne doivent pas s'appliquer à Windows NT AUTHORITY\$1SYSTEM ou aux utilisateurs du groupe des Administrateurs.


| Type de règle | Action | Utilisateur ou groupe Windows | Nom/Chemin | Condition | Description | 
| --- | --- | --- | --- | --- | --- | 
| Exécutable | Autorisation | NT AUTHORITY\$1Système | \$1 | Chemin | Nécessaire pour le logiciel de l'agent d' WorkSpaces applications | 
| Exécutable | Autorisation | BUILTIN\$1Administrateurs | \$1 | Chemin | Nécessaire pour le logiciel de l'agent d' WorkSpaces applications | 
| Exécutable | Autorisation | Tout le monde | %PROGRAMFILES%\$1nodejs\$1\$1 | Chemin | Nécessaire pour le logiciel de l'agent d' WorkSpaces applications | 
| Exécutable | Autorisation | Tout le monde | %PROGRAMFILES%\$1NICE\$1\$1 | Chemin | Nécessaire pour le logiciel de l'agent d' WorkSpaces applications | 
| Exécutable | Autorisation | Tout le monde | %PROGRAMFILES%\$1Amazon\$1\$1 | Chemin | Nécessaire pour le logiciel de l'agent d' WorkSpaces applications | 
| Exécutable | Autorisation | Tout le monde | %PROGRAMFILES% \$1 < > \$1 \$1 default-browser | Chemin | Nécessaire pour le logiciel d'agent d' WorkSpaces applications lorsque des solutions de stockage persistantes, telles que Google Drive ou Microsoft OneDrive for Business, sont utilisées. Cette exception n'est pas requise lorsque WorkSpaces les dossiers d'accueil des applications sont utilisés. | 

# Identity and Access Management pour les WorkSpaces applications Amazon
<a name="controlling-access"></a>

Vos identifiants de sécurité vous identifient auprès des services AWS et vous accordent une utilisation illimitée de vos AWS ressources, telles que WorkSpaces les ressources de vos applications. Vous pouvez utiliser les fonctionnalités des WorkSpaces applications et Gestion des identités et des accès AWS (IAM) pour permettre à d'autres utilisateurs, services et applications d'utiliser les ressources de vos WorkSpaces applications sans partager vos informations d'identification de sécurité. 

Vous pouvez utiliser IAM pour contrôler la façon dont les autres utilisateurs utilisent les ressources de votre compte Amazon Web Services, et vous pouvez utiliser des groupes de sécurité pour contrôler l'accès à vos instances de streaming d' WorkSpaces applications. Vous pouvez autoriser l'utilisation complète ou limitée des ressources de vos WorkSpaces applications. 

**Topics**
+ [Accès réseau à votre instance de streaming](network-access-to-streaming-instances.md)
+ [Utilisation de politiques AWS gérées et de rôles liés pour gérer l'accès des administrateurs aux ressources WorkSpaces des applications](controlling-administrator-access-with-policies-roles.md)
+ [Utilisation des politiques IAM pour gérer l’accès administrateur à Application Auto Scaling](autoscaling-iam-policy.md)
+ [Utilisation des politiques IAM pour gérer l’accès administrateur au compartiment Amazon S3 pour les dossiers de base et la persistance des paramètres d’application](s3-iam-policy.md)
+ [Utilisation d'un rôle IAM pour accorder des autorisations aux applications et aux scripts exécutés sur des instances de streaming WorkSpaces d'applications](using-iam-roles-to-grant-permissions-to-applications-scripts-streaming-instances.md)
+ [SELinux sur Red Hat Enterprise Linux et Rocky Linux](selinux.md)
+ [Authentification basée sur les cookies dans les applications Amazon WorkSpaces](cookie-auth.md)

# Accès réseau à votre instance de streaming
<a name="network-access-to-streaming-instances"></a>

Un groupe de sécurité agit comme un pare-feu avec état qui contrôle le trafic autorisé à atteindre vos instances de streaming. Lorsque vous lancez une instance de streaming d' WorkSpaces applications, attribuez-la à un ou plusieurs groupes de sécurité. Puis, ajoutez à chaque groupe de sécurité des règles qui contrôlent le trafic de l'instance. Vous pouvez modifier les règles d'un groupe de sécurité à tout moment. Les nouvelles règles s'appliquent automatiquement à toutes les instances auxquelles le groupe de sécurité est assigné. 

Pour de plus amples informations, veuillez consulter [Groupes de sécurité dans les WorkSpaces applications Amazon](managing-network-security-groups.md).

# Utilisation de politiques AWS gérées et de rôles liés pour gérer l'accès des administrateurs aux ressources WorkSpaces des applications
<a name="controlling-administrator-access-with-policies-roles"></a>

Par défaut, les utilisateurs IAM ne disposent pas des autorisations requises pour créer ou modifier les ressources des WorkSpaces applications, ou pour effectuer des tâches à l'aide de l'API WorkSpaces des applications. Cela signifie que ces utilisateurs ne peuvent pas effectuer ces actions dans la console WorkSpaces Applications ou à l'aide des commandes de la AWS CLI WorkSpaces des applications. Pour permettre aux utilisateurs IAM de créer ou de modifier des ressources et d’effectuer des tâches, attachez une politique IAM aux utilisateurs ou aux groupes IAM qui requièrent ces autorisations. 

Quand vous attachez une politique à un utilisateur, à un groupe d’utilisateurs ou à un rôle IAM, celle-ci accorde ou refuse aux utilisateurs l’autorisation d’exécuter les tâches spécifiées sur les ressources spécifiées. 

**Topics**
+ [AWS Politiques gérées requises pour accéder aux ressources WorkSpaces des applications](managed-policies-required-to-access-appstream-resources.md)
+ [Rôles requis pour WorkSpaces Applications, Application Auto Scaling et AWS Certificate Manager Private CA](roles-required-for-appstream.md)
+ [Vérification du rôle et des politiques du AmazonAppStreamServiceAccess service](controlling-access-checking-for-iam-service-access.md)
+ [Vérification de la fonction du service ApplicationAutoScalingForAmazonAppStreamAccess et des stratégies](controlling-access-checking-for-iam-autoscaling.md)
+ [Vérification du rôle lié au service `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` et des stratégies](controlling-access-checking-for-iam-service-linked-role-application-autoscaling-appstream-fleet.md)
+ [Vérification du rôle et des politiques du AmazonAppStream PCAAccess service](controlling-access-checking-for-AppStreamPCAAccess.md)

# AWS Politiques gérées requises pour accéder aux ressources WorkSpaces des applications
<a name="managed-policies-required-to-access-appstream-resources"></a>

Pour fournir un accès administratif complet ou en lecture seule aux WorkSpaces applications, vous devez associer l'une des politiques AWS gérées suivantes aux utilisateurs ou aux groupes IAM qui ont besoin de ces autorisations. Une *politique gérée par AWS * est une politique autonome qui est créée et gérée par AWS. Pour plus d’informations, consultez [Politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dans le *Guide de l’utilisateur IAM*.

**Note**  
Dans AWS, les rôles IAM sont utilisés pour accorder des autorisations à un AWS service afin qu'il puisse accéder aux AWS ressources. Les politiques associées au rôle déterminent les AWS ressources auxquelles le service peut accéder et ce qu'il peut faire avec ces ressources. Pour WorkSpaces les applications, outre les autorisations définies dans la **AmazonAppStreamFullAccess**politique, vous devez également disposer des rôles requis dans votre AWS compte. Pour de plus amples informations, veuillez consulter [Rôles requis pour WorkSpaces Applications, Application Auto Scaling et AWS Certificate Manager Private CA](roles-required-for-appstream.md).

**AmazonAppStreamFullAccess**  
Cette politique gérée fournit un accès administratif complet aux ressources WorkSpaces des applications. Pour gérer les ressources des WorkSpaces applications et effectuer des actions d'API via l'interface de ligne de AWS commande (AWS CLI), le AWS SDK ou AWS la console de gestion, vous devez disposer des autorisations définies dans cette politique.  
Si vous vous connectez à la console WorkSpaces Applications en tant qu'utilisateur IAM, vous devez associer cette politique à votre Compte AWS. Si vous vous connectez via la fédération de la console, vous devez attacher cette politique au rôle IAM qui a été utilisé pour la fédération.  
Pour consulter les autorisations associées à cette politique, consultez [AmazonAppStreamFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamFullAccess.html).

**AmazonAppStreamReadOnlyAccess**  
Cette politique basée sur l'identité accorde aux utilisateurs des autorisations en lecture seule pour afficher et surveiller les ressources des WorkSpaces applications et les configurations de service associées. Les utilisateurs peuvent accéder à la console WorkSpaces Applications pour consulter les applications de streaming, l'état du parc, les rapports d'utilisation et les ressources associées, mais ils ne peuvent apporter aucune modification. La politique inclut également les autorisations de lecture nécessaires pour prendre en charge des services tels que IAM, Application Auto Scaling, et CloudWatch pour permettre des fonctionnalités complètes de surveillance et de reporting.  
Pour consulter les autorisations associées à cette politique, consultez [AmazonAppStreamReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamReadOnlyAccess.html).

La console WorkSpaces Applications utilise une action supplémentaire qui fournit des fonctionnalités qui ne sont pas disponibles via la AWS CLI ou le AWS SDK. Les **AmazonAppStreamReadOnlyAccess**politiques **AmazonAppStreamFullAccess**et fournissent toutes deux des autorisations pour l'action suivante.


| Action | Description | Niveau d'accès | 
| --- | --- | --- | 
| DescribeImageBuilders | Accorde l'autorisation de récupérer une liste qui décrit une ou plusieurs instances Image Builders, si les noms de celles-ci sont fournis. Sinon, toutes les instances Image Builder du compte sont décrites. | Lecture | 

**AmazonAppStreamPCAAccess**  
Cette politique gérée fournit un accès administratif complet aux ressources de AWS Certificate Manager Private CA de votre AWS compte pour une authentification basée sur des certificats.  
Pour consulter les autorisations associées à cette politique, consultez [AmazonAppStreamPCAAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamPCAAccess.html).

**AmazonAppStreamServiceAccess**  
Cette stratégie gérée est la stratégie par défaut pour le rôle de service WorkSpaces Applications.   
Cette politique d'autorisation des rôles permet aux WorkSpaces applications d'effectuer les actions suivantes :  
+ Lorsque vous utilisez des sous-réseaux dans votre compte pour vos flottes d' WorkSpaces applications, WorkSpaces Applications est en mesure de décrire les sous-réseaux et les zones de disponibilité, ainsi que de créer et de gérer le cycle de vie de toutes les interfaces réseau élastiques associées aux instances de flotte de ces sous-réseaux. VPCs Cela inclut également la possibilité d'associer des groupes de sécurité et des adresses IP de ces sous-réseaux à ces interfaces réseau élastiques.
+ Lorsque vous utilisez des fonctionnalités telles que UPP et HomeFolders, WorkSpaces Applications est en mesure de créer et de gérer les compartiments Amazon S3, les objets et leur cycle de vie, leurs politiques et leur configuration de chiffrement dans le compte. Ces compartiments incluent les préfixes de dénomination suivants :
  + `"arn:aws:s3:::appstream2-36fb080bb8-",`
  + `"arn:aws:s3:::appstream-app-settings-",`
  + `"arn:aws:s3:::appstream-logs-"`
Pour consulter les autorisations associées à cette politique, consultez [AmazonAppStreamServiceAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamServiceAccess.html).

**ApplicationAutoScalingForAmazonAppStreamAccess**  
Cette politique gérée permet le dimensionnement automatique des WorkSpaces applications.  
Pour consulter les autorisations associées à cette politique, consultez [ApplicationAutoScalingForAmazonAppStreamAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ApplicationAutoScalingForAmazonAppStreamAccess.html).

**AWSApplicationAutoscalingAppStreamFleetPolicy**  
Cette politique gérée accorde des autorisations à Application Auto Scaling pour accéder aux WorkSpaces applications et CloudWatch .  
Pour consulter les autorisations associées à cette politique, consultez [AWSApplicationAutoscalingAppStreamFleetPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSApplicationAutoscalingAppStreamFleetPolicy.html).

## WorkSpaces Mises à jour des politiques AWS gérées par les applications
<a name="security-iam-awsmanpol-updates"></a>



Consultez les détails des mises à jour apportées aux politiques AWS gérées pour WorkSpaces les applications depuis que ce service a commencé à suivre ces modifications. Pour obtenir des alertes automatiques sur les modifications apportées à cette page, abonnez-vous au flux RSS de la page [Historique du document pour les WorkSpaces applications Amazon](doc-history.md).




| Modifier | Description | Date | 
| --- | --- | --- | 
|  AmazonAppStreamServiceAccess — Modification  |   Ajout d'autorisations d'autorisation `"ec2:DescribeImages"` pour le document de politique JSON  | 17 novembre 2025 | 
|  AmazonAppStreamReadOnlyAccess — Modification  |   `"appstream:Get*",`Supprimé du document de politique JSON  | 22 octobre 2025 | 
|  WorkSpaces Les applications ont commencé à suivre les modifications  |  WorkSpaces Les applications ont commencé à suivre les modifications apportées AWS à ses politiques gérées  | 31 octobre 2022 | 

# Rôles requis pour WorkSpaces Applications, Application Auto Scaling et AWS Certificate Manager Private CA
<a name="roles-required-for-appstream"></a>

Dans AWS, les rôles IAM sont utilisés pour accorder des autorisations à un AWS service afin qu'il puisse accéder aux AWS ressources. Les politiques associées au rôle déterminent les AWS ressources auxquelles le service peut accéder et ce qu'il peut faire avec ces ressources. Pour WorkSpaces les applications, outre les autorisations définies dans la **AmazonAppStreamFullAccess**politique, vous devez également avoir les rôles suivants dans votre AWS compte.

**Topics**
+ [AmazonAppStreamServiceAccess](#AmazonAppStreamServiceAccess)
+ [ApplicationAutoScalingForAmazonAppStreamAccess](#ApplicationAutoScalingForAmazonAppStreamAccess)
+ [AWSServiceRoleForApplicationAutoScaling\$1AppStreamFleet](#AWSServiceRoleForApplicationAutoScaling_AppStreamFleet)
+ [AmazonAppStreamPCAAccess](#AppStreamPCAAccess)

## AmazonAppStreamServiceAccess
<a name="AmazonAppStreamServiceAccess"></a>

Ce rôle est un rôle de service créé automatiquement pour vous lorsque vous commencez à utiliser les WorkSpaces applications dans une AWS région. Pour plus d'informations sur les rôles liés aux services, consultez la section [Création d'un rôle pour déléguer des autorisations à un AWS service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) dans le *Guide de l'utilisateur IAM*.

Pendant la création des ressources des WorkSpaces applications, le service WorkSpaces Applications effectue des appels d'API vers d'autres AWS services en votre nom en assumant ce rôle. Pour créer des flottes, vous devez avoir ce rôle dans votre compte. Si ce rôle ne figure pas dans votre AWS compte et que les autorisations IAM et les politiques de relation de confiance requises ne sont pas associées, vous ne pouvez pas créer de flottes d' WorkSpaces applications.

Pour plus d'informations, consultez la section [Vérification du rôle et des politiques du AmazonAppStreamServiceAccess service](controlling-access-checking-for-iam-service-access.md) pour vérifier si le rôle de **AmazonAppStreamServiceAccess**service est présent et si les politiques appropriées sont associées. 

**Note**  
Ce rôle de service peut avoir des autorisations différentes de celles du premier utilisateur qui commence à utiliser WorkSpaces les applications. Pour plus de détails sur les autorisations associées à ce rôle, voir « AmazonAppStreamServiceAccess » dans[AWS Politiques gérées requises pour accéder aux ressources WorkSpaces des applications](managed-policies-required-to-access-appstream-resources.md).

## ApplicationAutoScalingForAmazonAppStreamAccess
<a name="ApplicationAutoScalingForAmazonAppStreamAccess"></a>

Ce rôle est un rôle de service créé automatiquement pour vous lorsque vous commencez à utiliser les WorkSpaces applications dans une AWS région. Pour plus d'informations sur les rôles liés aux services, consultez la section [Création d'un rôle pour déléguer des autorisations à un AWS service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) dans le *Guide de l'utilisateur IAM*.

La mise à l'échelle automatique est une fonctionnalité des flottes d' WorkSpaces applications. Pour configurer les politiques de dimensionnement, vous devez disposer de ce rôle de service dans votre AWS compte. Si ce rôle de service ne figure pas dans votre AWS compte et que les autorisations IAM et les politiques de relation de confiance requises ne sont pas associées, vous ne pouvez pas dimensionner WorkSpaces les flottes d'applications.

Pour de plus amples informations, veuillez consulter [Vérification de la fonction du service ApplicationAutoScalingForAmazonAppStreamAccess et des stratégies](controlling-access-checking-for-iam-autoscaling.md).

## AWSServiceRoleForApplicationAutoScaling\$1AppStreamFleet
<a name="AWSServiceRoleForApplicationAutoScaling_AppStreamFleet"></a>

Ce rôle est un rôle lié à un service créé automatiquement pour vous. Pour plus d’informations, consultez [Rôles liés à un service](https://docs.aws.amazon.com/autoscaling/application/userguide/application-auto-scaling-service-linked-roles.html) dans le *Guide de l’utilisateur Application Auto Scaling*.

Application Auto Scaling utilise un rôle lié à un service pour effectuer une mise à l’échelle automatique en votre nom. Un *rôle lié à un service* est un rôle IAM directement lié à un service. AWS Ce rôle inclut toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom.

Pour de plus amples informations, veuillez consulter [Vérification du rôle lié au service `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` et des stratégies](controlling-access-checking-for-iam-service-linked-role-application-autoscaling-appstream-fleet.md).

## AmazonAppStreamPCAAccess
<a name="AppStreamPCAAccess"></a>

Ce rôle est un rôle de service créé automatiquement pour vous lorsque vous commencez à utiliser les WorkSpaces applications dans une AWS région. Pour plus d'informations sur les rôles liés aux services, consultez la section [Création d'un rôle pour déléguer des autorisations à un AWS service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) dans le *Guide de l'utilisateur IAM*.

L'authentification basée sur les certificats est une fonctionnalité des flottes d' WorkSpaces applications associées à des domaines Microsoft Active Directory. Pour activer et utiliser l'authentification basée sur des certificats, vous devez avoir ce rôle de service dans votre AWS compte. Si ce rôle de service ne figure pas dans votre AWS compte et que les autorisations IAM et les politiques de relation de confiance requises ne sont pas associées, vous ne pouvez pas activer ou utiliser l'authentification basée sur des certificats.

Pour de plus amples informations, veuillez consulter [Vérification du rôle et des politiques du AmazonAppStream PCAAccess service](controlling-access-checking-for-AppStreamPCAAccess.md).

# Vérification du rôle et des politiques du AmazonAppStreamServiceAccess service
<a name="controlling-access-checking-for-iam-service-access"></a>

Suivez les étapes de cette section pour vérifier si la fonction du service **AmazonAppStreamServiceAccess** est présente et si les bonnes stratégies lui sont attachées. Si ce rôle ne figure pas dans votre compte et doit être créé, vous ou un administrateur disposant des autorisations requises devez suivre les étapes pour commencer à utiliser WorkSpaces les applications sur votre compte Amazon Web Services.

**Pour vérifier si le rôle de service AmazonAppStreamServiceAccess IAM est présent**

1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Dans le panneau de navigation, choisissez **Rôles**. 

1. Dans la zone de recherche, tapez **amazonappstreamservice** pour affiner la liste des rôles à sélectionner, puis choisissez. **AmazonAppStreamServiceAccess** Si ce rôle est répertorié, sélectionnez-le pour afficher sa page **Récapitulatif**. 

1. Sous l’onglet **Autorisations**, vérifiez si la stratégie d’autorisations **AmazonAppStreamServiceAccess** est attachée.

1. Revenez à la page **Récapitulatif**.

1. Sous l’onglet **Relations d’approbation**, choisissez **Afficher le document de stratégie**, puis vérifiez si la stratégie de relation d’approbation **AmazonAppStreamServiceAccess** est attachée et suit le format correct. Si tel est le cas, la relation d’approbation est correctement configurée. Choisissez **Annuler** et fermez la console IAM. 

## AmazonAppStreamServiceAccess politique de relation de confiance
<a name="controlling-access-service-access-trust-policy"></a>

La politique de relation de **AmazonAppStreamServiceAccess**confiance doit inclure le service WorkSpaces Applications comme principal. Un *mandant* est une entité AWS qui peut effectuer des actions et accéder à des ressources. Cette stratégie doit également inclure l’action `sts:AssumeRole`. La configuration de politique suivante définit WorkSpaces les applications comme une entité de confiance.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
      "Service": "appstream.amazonaws.com"
    },
    "Action": "sts:AssumeRole"
    }
  ]
}
```

------

# Vérification de la fonction du service ApplicationAutoScalingForAmazonAppStreamAccess et des stratégies
<a name="controlling-access-checking-for-iam-autoscaling"></a>

Suivez les étapes de cette section pour vérifier si la fonction du service **ApplicationAutoScalingForAmazonAppStreamAccess** est présente et si les bonnes stratégies lui sont attachées. Si ce rôle ne figure pas dans votre compte et doit être créé, vous ou un administrateur disposant des autorisations requises devez suivre les étapes pour commencer à utiliser WorkSpaces les applications sur votre compte Amazon Web Services.

**Pour vérifier si la fonction du service IAM ApplicationAutoScalingForAmazonAppStreamAccess est présente**

1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Dans le panneau de navigation, choisissez **Rôles**. 

1. Dans la zone de recherche, tapez **applicationautoscaling** afin de réduire la liste des rôles à sélectionner, puis choisissez **ApplicationAutoScalingForAmazonAppStreamAccess**. Si ce rôle est répertorié, sélectionnez-le pour afficher sa page **Récapitulatif**. 

1. Sous l’onglet **Autorisations**, vérifiez si la stratégie d’autorisations **ApplicationAutoScalingForAmazonAppStreamAccess** est attachée. 

1. Revenez à la page **Récapitulatif**.

1. Sous l’onglet **Relations d’approbation**, choisissez **Afficher le document de stratégie**, puis vérifiez si la stratégie de relation d’approbation **ApplicationAutoScalingForAmazonAppStreamAccess** est attachée et suit le format correct. Si tel est le cas, la relation d’approbation est correctement configurée. Choisissez **Annuler** et fermez la console IAM. 

## Stratégie de relation d’approbation ApplicationAutoScalingForAmazonAppStreamAccess
<a name="controlling-access-autoscaling-trust-policy"></a>

La stratégie de relation d’approbation **ApplicationAutoScalingForAmazonAppStreamAccess** doit inclure le service Application Auto Scaling en tant que principal. Cette stratégie doit également inclure l’action `sts:AssumeRole`. La configuration de stratégie suivante définit Application Auto Scaling comme entité de confiance.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "application-autoscaling.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

------

# Vérification du rôle lié au service `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` et des stratégies
<a name="controlling-access-checking-for-iam-service-linked-role-application-autoscaling-appstream-fleet"></a>

Suivez les étapes de cette section pour vérifier si le rôle lié au service `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` est présent et si les bonnes stratégies lui sont attachées. Si ce rôle ne figure pas dans votre compte et doit être créé, vous ou un administrateur disposant des autorisations requises devez suivre les étapes pour commencer à utiliser WorkSpaces les applications sur votre compte Amazon Web Services.

**Pour vérifier si le rôle lié à un service IAM `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` est présent**

1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Dans le panneau de navigation, choisissez **Rôles**. 

1. Dans la zone de recherche, tapez **applicationautoscaling** afin de réduire la liste des rôles à sélectionner, puis choisissez `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet`. Si ce rôle est répertorié, sélectionnez-le pour afficher sa page **Récapitulatif**. 

1. Sous l’onglet **Autorisations**, vérifiez si la stratégie d’autorisations `AWSApplicationAutoscalingAppStreamFleetPolicy` est attachée.

1. Revenez à la page de récapitulatif **Rôle**.

1. Sous l’onglet **Relations d’approbation**, choisissez **Afficher le document de stratégie**, puis vérifiez si la stratégie de relation d’approbation `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` est attachée et suit le format correct. Si tel est le cas, la relation d’approbation est correctement configurée. Choisissez **Annuler** et fermez la console IAM. 

## AWSServiceRoleForApplicationAutoScaling\$1AppStreamFleet politique de relation de confiance
<a name="controlling-access-application-autoscaling-appstream-fleet-trust-policy"></a>

La stratégie de relation d’approbation `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` doit inclure **appstream.application-autoscaling.amazonaws.com** comme principal. Cette stratégie doit également inclure l’action `sts:AssumeRole`. La configuration de stratégie suivante définit **appstream.application-autoscaling.amazonaws.com** comme entité de confiance.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "appstream.application-autoscaling.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

------

# Vérification du rôle et des politiques du AmazonAppStream PCAAccess service
<a name="controlling-access-checking-for-AppStreamPCAAccess"></a>

Suivez les étapes de cette section pour vérifier si la fonction du service **AmazonAppStreamPCAAccess** est présente et si les bonnes stratégies lui sont attachées. Si ce rôle ne figure pas dans votre compte et doit être créé, vous ou un administrateur disposant des autorisations requises devez suivre les étapes pour commencer à utiliser WorkSpaces les applications sur votre compte Amazon Web Services.

**Pour vérifier si le rôle de service AmazonAppStream PCAAccess IAM est présent**

1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Dans le panneau de navigation, choisissez **Rôles**. 

1. Dans la zone de recherche, tapez **appstreampca** pour affiner la liste des rôles à sélectionner, puis choisissez. **AmazonAppStreamPCAAccess** Si ce rôle est répertorié, sélectionnez-le pour afficher sa page **Récapitulatif**. 

1. Sous l’onglet **Autorisations**, vérifiez si la stratégie d’autorisations **AmazonAppStreamPCAAccess ** est attachée.

1. Revenez à la page de récapitulatif **Rôle**.

1. Sous l’onglet **Relations d’approbation**, choisissez **Afficher le document de stratégie**, puis vérifiez si la stratégie de relation d’approbation **AmazonAppStreamPCAAccess ** est attachée et suit le format correct. Si tel est le cas, la relation d’approbation est correctement configurée. Choisissez **Annuler** et fermez la console IAM. 

## AmazonAppStreamPCAAccess politique de relation de confiance
<a name="controlling-access-amazonappstreampcaaccess-trust-policy"></a>

La politique de relation de **AmazonAppStreamPCAAccess**confiance doit inclure prod.euc.ecm.amazonaws.com comme principal. Cette stratégie doit également inclure l’action `sts:AssumeRole`. La configuration de stratégie suivante définit ECM comme entité de confiance.

**Pour créer la politique de relation de AmazonAppStream PCAAccess confiance à l'aide de la AWS CLI**

1. Créez un fichier JSON nommé `AmazonAppStreamPCAAccess.json` avec le texte suivant.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "Service": [
                       "prod.euc.ecm.amazonaws.com"
                   ]
               },
               "Action": "sts:AssumeRole",
               "Condition": {}
           }
       ]
   }
   ```

------

1. Ajustez le `AmazonAppStreamPCAAccess.json` chemin selon vos besoins et exécutez les commandes AWS CLI suivantes pour créer la politique de relation de confiance et associer la politique AmazonAppStream PCAAccess gérée. Pour plus d’informations sur la stratégie gérée, consultez [AWS Politiques gérées requises pour accéder aux ressources WorkSpaces des applications](managed-policies-required-to-access-appstream-resources.md).

   ```
   aws iam create-role --path /service-role/ --role-name AmazonAppStreamPCAAccess --assume-role-policy-document file://AmazonAppStreamPCAAccess.json
   ```

   ```
   aws iam attach-role-policy —role-name AmazonAppStreamPCAAccess —policy-arn arn:aws:iam::aws:policy/AmazonAppStreamPCAAccess
   ```

# Utilisation des politiques IAM pour gérer l’accès administrateur à Application Auto Scaling
<a name="autoscaling-iam-policy"></a>

La mise à l'échelle automatique des flottes est rendue possible par la combinaison d' WorkSpaces Applications, d'Amazon CloudWatch et d'Application Auto Scaling APIs. WorkSpaces Les flottes d'applications sont créées avec WorkSpaces Applications, les alarmes sont créées avec CloudWatch Application Auto Scaling et les politiques de dimensionnement sont créées avec Application Auto Scaling.

Outre les autorisations définies dans la [AmazonAppStreamFullAccess](managed-policies-required-to-access-appstream-resources.md)politique, l'utilisateur IAM qui accède aux paramètres de dimensionnement du parc doit disposer des autorisations requises pour les services qui prennent en charge le dimensionnement dynamique. Les utilisateurs IAM doivent être autorisés à utiliser les actions dans l'exemple de politique suivant. 

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
          "appstream:*",
          "application-autoscaling:*",
          "cloudwatch:DeleteAlarms",
          "cloudwatch:DescribeAlarmsForMetric",
          "cloudwatch:DisableAlarmActions",
          "cloudwatch:DescribeAlarms",
          "cloudwatch:EnableAlarmActions",
          "cloudwatch:ListMetrics",
          "cloudwatch:PutMetricAlarm",
          "iam:ListRoles"
      ],
      "Resource": "*"
    },
    {
      "Sid": "iamPassRole",
      "Effect": "Allow",
      "Action": [
          "iam:PassRole"
      ],
      "Resource": "*",
      "Condition": {
         "StringEquals": {
             "iam:PassedToService": "application-autoscaling.amazonaws.com"
          }
      }
    }
  ]
}
```

------

Vous pouvez également créer vos propres politiques IAM pour définir des autorisations plus spécifiques pour les appels de l’API Application Auto Scaling. Pour plus d’informations, consultez [Authentification et contrôle d’accès](https://docs.aws.amazon.com/autoscaling/application/userguide/auth-and-access-control.html) dans le *Guide de l’utilisateur Application Auto Scaling*.

# Utilisation des politiques IAM pour gérer l’accès administrateur au compartiment Amazon S3 pour les dossiers de base et la persistance des paramètres d’application
<a name="s3-iam-policy"></a>

Les exemples suivants montrent comment utiliser des politiques IAM pour gérer l’accès au compartiment Amazon S3 pour les dossiers de base et la persistance des paramètres d’application.

**Topics**
+ [Suppression du compartiment Amazon S3 pour les dossiers de base et la persistance des paramètres d’application](s3-iam-policy-delete.md)
+ [Restriction de l’accès administrateur au compartiment Amazon S3 pour les dossiers de base et la persistance des paramètres d’application](s3-iam-policy-restricted-access.md)

# Suppression du compartiment Amazon S3 pour les dossiers de base et la persistance des paramètres d’application
<a name="s3-iam-policy-delete"></a>

WorkSpaces Applications ajoute une politique de compartiment Amazon S3 aux compartiments qu'elle crée afin d'empêcher leur suppression accidentelle. Pour supprimer un compartiment S3, vous devez d’abord supprimer la stratégie de compartiment S3. Voici les stratégies de compartiment que vous devez supprimer pour les dossiers de base et la persistance des paramètres d'application.

**Stratégie des dossiers de base**

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "PreventAccidentalDeletionOfBucket",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:DeleteBucket",
      "Resource": "arn:aws:s3:::appstream2-36fb080bb8-region-code-123456789012-without-hyphens"
    }
  ]
}
```

------

**Stratégie de persistance des paramètres d'application**

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "PreventAccidentalDeletionOfBucket",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:DeleteBucket",
      "Resource": "arn:aws:s3:::appstream-app-settings-region-code-123456789012-without-hyphens-unique-identifier"
     }
   ]
}
```

------

 Pour plus d’informations, consultez [Suppression d’un compartiment](https://docs.aws.amazon.com/AmazonS3/latest/userguide/delete-or-empty-bucket.html) dans le *Guide de l’utilisateur Amazon Simple Storage Service*.

# Restriction de l’accès administrateur au compartiment Amazon S3 pour les dossiers de base et la persistance des paramètres d’application
<a name="s3-iam-policy-restricted-access"></a>

Par défaut, les administrateurs autorisés à accéder aux compartiments Amazon S3 créés par WorkSpaces Applications peuvent consulter et modifier le contenu figurant dans les dossiers personnels des utilisateurs et dans les paramètres permanents des applications. Pour limiter l'accès de l'administrateur aux compartiments S3 qui contiennent les fichiers de l'utilisateur, nous vous recommandons d'appliquer la stratégie d'accès du compartiment S3 en fonction du modèle suivant : 

```
{
  "Sid": "RestrictedAccess",
  "Effect": "Deny",
  "NotPrincipal": 
  {
    "AWS": [
      "arn:aws:iam::account:role/service-role/AmazonAppStreamServiceAccess",
      "arn:aws:sts::account:assumed-role/AmazonAppStreamServiceAccess/PhotonSession",
      "arn:aws:iam::account:user/IAM-user-name"
    ]
  },
    "Action": "s3:*",
    "Resource": "arn:aws:s3:::home-folder-or-application-settings-persistence-s3-bucket-region-account"
  }
 ]
}
```

Cette politique autorise l'accès au compartiment S3 uniquement aux utilisateurs spécifiés et au service WorkSpaces Applications. Pour chaque utilisateur IAM qui doit disposer d’un accès, répliquez la ligne suivante :

```
"arn:aws:iam::account:user/IAM-user-name"
```

Dans l’exemple suivant, la stratégie restreint l’accès au compartiment S3 des dossiers de base pour tout autre utilisateur que les utilisateurs IAM marymajor et johnstiles. Il permet également d'accéder au service WorkSpaces Applications, dans la AWS région USA Ouest (Oregon) pour le numéro de compte 123456789012.

```
{
  "Sid": "RestrictedAccess",
  "Effect": "Deny",
  "NotPrincipal": 
  {
    "AWS": [
      "arn:aws:iam::123456789012:role/service-role/AmazonAppStreamServiceAccess",
      "arn:aws:sts::123456789012:assumed-role/AmazonAppStreamServiceAccess/PhotonSession",
      "arn:aws:iam::123456789012:user/marymajor",
      "arn:aws:iam::123456789012:user/johnstiles"
    ]
  },
    "Action": "s3:*",
    "Resource": "arn:aws:s3:::appstream2-36fb080bb8-us-west-2-123456789012"
  }
 ]
}
```

# Utilisation d'un rôle IAM pour accorder des autorisations aux applications et aux scripts exécutés sur des instances de streaming WorkSpaces d'applications
<a name="using-iam-roles-to-grant-permissions-to-applications-scripts-streaming-instances"></a>

Les applications et les scripts qui s'exécutent sur WorkSpaces des instances de streaming d'applications doivent inclure des AWS informations d'identification dans leurs demandes AWS d'API. Vous pouvez créer un rôle IAM pour gérer ces informations d’identification. Un rôle IAM spécifie un ensemble d'autorisations que vous pouvez utiliser pour accéder aux AWS ressources. Toutefois, ce rôle n'est pas associé de façon unique à une seule personne. Au lieu de cela, il peut être assumé par toute personne en ayant besoin.

Vous pouvez appliquer un rôle IAM à une instance de streaming d' WorkSpaces applications. Lorsque l'instance de streaming bascule vers (assume) le rôle, le rôle fournit des informations d'identification de sécurité temporaires. Votre application ou vos scripts utilisent ces informations d'identification pour effectuer des actions d'API et des tâches de gestion sur l'instance de streaming. WorkSpaces Applications gère le changement d'informations d'identification temporaires pour vous.

**Topics**
+ [Bonnes pratiques d'utilisation des rôles IAM avec des instances de streaming WorkSpaces d'applications](best-practices-for-using-iam-role-with-streaming-instances.md)
+ [Configuration d'un rôle IAM existant à utiliser avec des instances de streaming WorkSpaces d'applications](configuring-existing-iam-role-to-use-with-streaming-instances.md)
+ [Comment créer un rôle IAM à utiliser avec les instances de streaming WorkSpaces d'applications](how-to-create-iam-role-to-use-with-streaming-instances.md)
+ [Comment utiliser le rôle IAM avec des instances de streaming WorkSpaces d'applications](how-to-use-iam-role-with-streaming-instances.md)

# Bonnes pratiques d'utilisation des rôles IAM avec des instances de streaming WorkSpaces d'applications
<a name="best-practices-for-using-iam-role-with-streaming-instances"></a>

Lorsque vous utilisez des rôles IAM avec des instances de streaming d' WorkSpaces applications, nous vous recommandons de suivre les pratiques suivantes :
+ Limitez les autorisations que vous accordez aux actions et aux ressources de l' AWS API.

  Respectez le principe du moindre privilège lorsque vous créez et associez des politiques IAM aux rôles IAM associés aux instances de streaming WorkSpaces d'applications. Lorsque vous utilisez une application ou un script qui nécessite l'accès à des actions ou à des ressources d' AWS API, déterminez les actions et les ressources spécifiques requises. Ensuite, créez des politiques qui autorisent l’application ou le script à effectuer uniquement ces actions. Pour plus d’informations, consultez [Octroi du moindre privilège](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) dans le *Guide de l’utilisateur IAM*.
+ Créez un rôle IAM pour chaque ressource WorkSpaces d'applications.

  La création d'un rôle IAM unique pour chaque ressource WorkSpaces d'applications est une pratique qui respecte le principe du moindre privilège. Cela vous permet également de modifier les autorisations pour une ressource sans affecter les autres ressources.
+ Limitez les endroits où les informations d’identification peuvent être utilisées.

  Les politiques IAM vous permettent de définir les conditions dans lesquelles votre rôle IAM peut être utilisé pour accéder à une ressource. Par exemple, vous pouvez inclure des conditions pour spécifier une plage d'adresses IP d'où peuvent parvenir les requêtes. Cela permet d’éviter que les informations d’identification soient utilisées en dehors de votre environnement. Pour plus d’informations, consultez [Utiliser les conditions des stratégies pour une plus grande sécurité](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#use-policy-conditions) dans le *Guide de l’utilisateur IAM*.

# Configuration d'un rôle IAM existant à utiliser avec des instances de streaming WorkSpaces d'applications
<a name="configuring-existing-iam-role-to-use-with-streaming-instances"></a>

Cette rubrique décrit comment configurer un rôle IAM existant afin de pouvoir l’utiliser avec des instances Image Builder et des instances de streaming de flotte.

**Conditions préalables**

Le rôle IAM que vous souhaitez utiliser avec un générateur d'images d' WorkSpaces applications ou une instance de streaming de flotte doit répondre aux conditions préalables suivantes :
+ Le rôle IAM doit figurer sur le même compte Amazon Web Services que l'instance de streaming WorkSpaces Applications.
+ Le rôle IAM ne peut pas être une fonction du service.
+ La politique de relation de confiance attachée au rôle IAM doit inclure le service WorkSpaces Applications en tant que principal. Un *mandant* est une entité AWS qui peut effectuer des actions et accéder à des ressources. La stratégie doit également inclure l'action `sts:AssumeRole`. Cette configuration de politique définit WorkSpaces les applications comme une entité de confiance.

  
+ Si vous appliquez le rôle IAM à un générateur d'images, celui-ci doit exécuter une version de l'agent d' WorkSpaces applications publiée le 3 septembre 2019 ou après cette date. Si vous appliquez le rôle IAM à une flotte, celle-ci doit utiliser une image qui utilise une version de l'agent publiée à la même date ou après cette date. Pour de plus amples informations, veuillez consulter [WorkSpaces Notes de mise à jour des agents d'applications](agent-software-versions.md). 

**Pour permettre au principal du service WorkSpaces Applications d'assumer un rôle IAM existant**

Pour effectuer les étapes suivantes, vous devez vous connecter au compte en tant qu’utilisateur IAM disposant des autorisations requises pour répertorier et mettre à jour les rôles IAM. Si vous n’avez pas les autorisations requises, demandez à votre administrateur de compte Amazon Web Services d’effectuer ces étapes dans votre compte ou de vous accorder les autorisations requises.

1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Dans le panneau de navigation, choisissez **Rôles**. 

1. Dans la liste des rôles de votre compte, choisissez le nom du rôle que vous souhaitez modifier.

1. Sélectionnez l'onglet **Relations d'approbation**, puis **Modifier la relation d'approbation**.

1. Sous **Document de stratégie**, vérifiez que la stratégie de relation d’approbation inclut l’action `sts:AssumeRole` pour le principal du service `appstream.amazonaws.com` :

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "Service": [
             "appstream.amazonaws.com"
           ]
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   ```

------

1. Après avoir modifié votre politique d'approbation, choisissez **Mettre à jour la politique de confiance** pour enregistrer vos modifications. 

1. Le rôle IAM que vous avez sélectionné s'affichera dans la console WorkSpaces Applications. Ce rôle accorde des autorisations aux applications et aux scripts pour effectuer des actions d'API et des tâches de gestion sur les instances de streaming.

# Comment créer un rôle IAM à utiliser avec les instances de streaming WorkSpaces d'applications
<a name="how-to-create-iam-role-to-use-with-streaming-instances"></a>

Cette rubrique décrit comment créer un rôle IAM afin de pouvoir l’utiliser avec des instances Image Builder et des instances de streaming de flotte.

1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Dans le volet de navigation, sélectionnez **Rôles**, puis **Créer un rôle**.

1. Pour **Select type of trusted entity (Sélectionner le type d’entité de confiance)**, choisissez **Service AWS **.

1. Dans la liste des AWS services, sélectionnez **WorkSpaces Applications**.

1. Sous **Sélectionnez votre cas d'utilisation**, **WorkSpaces Applications — Autorise WorkSpaces les instances d'applications à appeler AWS des services en votre nom** est déjà sélectionné. Choisissez **Suivant : Autorisations**.

1. Si possible, sélectionnez la politique à utiliser pour la politique d'autorisations ou choisissez **Create policy** (Créer une politique) pour ouvrir un nouvel onglet de navigateur et créer une nouvelle politique de bout en bout. Pour plus d’informations, consultez l’étape 4 de la procédure [Création de politiques IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start) dans le *Guide de l’utilisateur IAM*.

   Une fois la politique créée, fermez cet onglet et revenez à l'onglet initial. Cochez la case à côté des politiques d'autorisation que vous souhaitez WorkSpaces appliquer aux applications.

1. (Facultatif) Définissez une limite d'autorisations. Il s’agit d’une fonctionnalité avancée disponible pour les fonctions de service, mais pas pour les rôles liés à un service. Pour plus d’informations, consultez [Limites d’autorisations pour les entités IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dans le *Guide de l’utilisateur IAM*.

1. Choisissez **Suivant : Balises**. Vous pouvez éventuellement joindre des balises en tant que paires clé-valeur. Pour plus d’informations, consultez [Balisage des utilisateurs et des rôles IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) dans le *Guide de l’utilisateur IAM*.

1. Choisissez **Suivant : Vérification**.

1. Pour **Nom du rôle**, saisissez un nom de rôle unique dans votre compte Amazon Web Services. Comme d'autres AWS ressources peuvent faire référence au rôle, vous ne pouvez pas modifier le nom du rôle une fois qu'il a été créé.

1. Pour **Description du rôle**, conservez la description du rôle par défaut ou saisissez une nouvelle description.

1. Passez en revue les informations du rôle, puis choisissez **Create role** (Créer un rôle).

# Comment utiliser le rôle IAM avec des instances de streaming WorkSpaces d'applications
<a name="how-to-use-iam-role-with-streaming-instances"></a>

Une fois que vous avez créé un rôle IAM, vous pouvez l’appliquer à une instance Image Builder ou à une instance de streaming de flotte lorsque vous lancez l’instance Image Builder ou créez une flotte. Vous pouvez également appliquer un rôle IAM à des flottes existantes. Pour plus d’informations sur la procédure d’application d’un rôle IAM lorsque vous lancez une instance Image Builder, consultez [Lancer un Image Builder pour l'installation et la configuration d'applications de streaming](tutorial-image-builder-create.md). Pour plus d’informations sur la procédure d’application d’un rôle IAM lorsque vous créez une flotte, consultez [Création d'une flotte dans Amazon WorkSpaces Applications](set-up-stacks-fleets-create.md).

Lorsque vous appliquez un rôle IAM à votre générateur d'images ou à votre instance de streaming de flotte, WorkSpaces Applications récupère les informations d'identification temporaires et crée le profil d'identification **appstream\$1machine\$1role** sur l'instance. Les informations d’identification temporaires sont valides pendant 1 heure et de nouvelles informations d’identification sont récupérées toutes les heures. Les informations d'identification précédentes n'expirent pas. Vous pouvez donc les utiliser aussi longtemps qu'elles sont valides. Vous pouvez utiliser le profil d'identification pour appeler AWS des services par programmation à l'aide de l'interface de ligne de AWS commande (AWS CLI) PowerShell, AWS des outils ou du AWS SDK dans la langue de votre choix.

Lorsque vous effectuez les appels d'API, spécifiez **appstream\$1machine\$1role** comme profil d'informations d'identification. Sinon, l'opération échoue en raison d'autorisations insuffisantes.

WorkSpaces Les applications assument le rôle spécifié pendant le provisionnement de l'instance de streaming. Dans la WorkSpaces mesure où Applications utilise l'interface Elastic Network qui est attachée à votre VPC pour les appels d' AWS API, votre application ou votre script doit attendre que l'Elastic network interface soit disponible avant de passer des appels d' AWS API. Si des appels d'API sont effectués avant que l'interface réseau Elastic soit disponible, les appels échouent.

Les exemples suivants montrent comment utiliser le profil d'informations d'identification** appstream\$1machine\$1role** pour décrire des instances de streaming (instances EC2) et créer le client Boto. Boto est le kit SDK Amazon Web Services (AWS) pour Python. 

**Décrire les instances de streaming (instances EC2) à l'aide de la CLI AWS **

```
aws ec2 describe-instances --region us-east-1 --profile appstream_machine_role
```

**Décrire les instances de streaming (instances EC2) à l'aide d' AWS outils pour PowerShell**

Vous devez utiliser AWS Tools pour PowerShell la version 3.3.563.1 ou ultérieure, avec le SDK Amazon Web Services pour .NET version 3.3.103.22 ou ultérieure. Vous pouvez télécharger le programme d'installation de AWS Tools for Windows, qui inclut AWS Tools for PowerShell et le SDK Amazon Web Services pour .NET, depuis [AWS le site Web Tools PowerShell](https://aws.amazon.com/powershell/) for.

```
Get-EC2Instance -Region us-east-1 -ProfileName appstream_machine_role
```

**Création du client Boto à l'aide du AWS SDK pour Python**

```
session = boto3.Session(profile_name='appstream_machine_role')
```

# SELinux sur Red Hat Enterprise Linux et Rocky Linux
<a name="selinux"></a>

Par défaut, Security Enhanced Linux (SELinux) est `enabled` configuré `enforcing` en mode pour les générateurs d'images d' WorkSpaces applications et les instances de streaming alimentés par Red Hat Enterprise Linux et Rocky Linux. En `enforcing` mode, les refus d'autorisation sont appliqués. SELinux est un ensemble de fonctionnalités et d'utilitaires du noyau destinés à fournir une architecture de contrôle d'accès (MAC) solide, flexible et obligatoire aux principaux sous-systèmes du noyau.

SELinux fournit un mécanisme amélioré pour appliquer la séparation des informations sur la base des exigences de confidentialité et d'intégrité. Cette séparation des informations réduit les risques de falsification et de contournement des mécanismes de sécurité des applications. Elle limite également les dommages pouvant être causés par des applications malveillantes ou défectueuses.

SELinux inclut un ensemble d'exemples de fichiers de configuration des politiques de sécurité conçus pour répondre aux objectifs de sécurité quotidiens. Pour plus d'informations sur les SELinux fonctionnalités, voir [Qu'est-ce que c'est SELinux](https://www.redhat.com/en/topics/linux/what-is-selinux) ?

# Authentification basée sur les cookies dans les applications Amazon WorkSpaces
<a name="cookie-auth"></a>

WorkSpaces Les applications utilisent des cookies de navigateur pour authentifier les sessions de streaming et permettre aux utilisateurs de se reconnecter à une session active sans avoir à saisir à nouveau leurs informations de connexion à chaque fois. Les jetons d'authentification sont stockés dans les cookies du navigateur pour chaque scénario d'authentification. Bien que les cookies soient nécessaires pour de nombreux services en ligne, ils peuvent potentiellement être vulnérables aux attaques de vol de cookies. Nous vous recommandons vivement de prendre des mesures proactives pour empêcher le vol de cookies, telles que la mise en œuvre de solutions robustes de protection des terminaux pour les appareils de vos utilisateurs. En outre, afin d'atténuer l'impact potentiel en cas de vol de cookies, nous vous conseillons de prendre les mesures suivantes :
+ **Appliquez une limite de session unique** : pour les images Windows de vos WorkSpaces applications, créez une clé de registre sous `HKEY_USERS\S-1-5-18\Software\GSettings\com\nicesoftware\dcv\session-management` le nom **max-concurrent-clients**défini sur 1 afin de n'autoriser qu'une seule connexion à la fois. Cela limite le nombre de sessions simultanées à une et bloque la mise en miroir des sessions actives. Pour plus d'informations, consultez la section Paramètres [de gestion de session.](https://docs.aws.amazon.com/dcv/latest/adminguide/config-param-ref.html#session_management)
+ **Appliquer l'expiration des sessions et la réauthentification**
  + Réduisez la SessionDuration valeur afin que le jeton d'authentification expire une fois que l'utilisateur a démarré avec succès la session de streaming. La réutilisation des cookies d'authentification après l'expiration de la durée de session oblige les utilisateurs à s'authentifier à nouveau. SessionDuration indique la durée maximale pendant laquelle une session de streaming fédérée d'un utilisateur peut rester active avant qu'une nouvelle authentification ne soit requise. La valeur par défaut est de 60 minutes. Pour de plus amples informations, veuillez consulter [Etape 5 : Créer des assertions pour la réponse de l'authentification SAML](external-identity-providers-setting-up-saml.md#external-identity-providers-create-assertions).
  + Pour optimiser la sécurité, les utilisateurs doivent terminer les sessions correctement à l'aide de la barre d'outils (terminer la session), au lieu de fermer la fenêtre de diffusion. La fin de la session via la barre d'outils met fin à la fois à la session utilisateur et à l'instance de streaming. Cela nécessite une nouvelle authentification pour tout accès futur, afin d'empêcher l'utilisation abusive des cookies. Si un utilisateur ferme la fenêtre de streaming sans mettre fin à la session, la session et l'instance restent actives pendant un délai de déconnexion configurable (en minutes). Le délai de déconnexion doit être compris entre 1 et 5760, avec une valeur par défaut de 15 minutes. Pour éviter toute utilisation abusive des sessions inactives, nous vous recommandons de définir un court délai de déconnexion. Pour de plus amples informations, veuillez consulter [Création d'une flotte dans Amazon WorkSpaces Applications](set-up-stacks-fleets-create.md).
+ **Limitez l'accès aux WorkSpaces applications de streaming à vos plages d'adresses IP** : nous vous recommandons de mettre en œuvre des politiques IAM basées sur l'IP. Cela garantit que WorkSpaces les sessions d'applications ne sont accessibles qu'à partir de clients dont l'adresse IP appartient à une plage d'adresses IP autorisée. Toutes les tentatives de connexion initiées par un utilisateur dont l'adresse IP du client se situe en dehors d'une plage autorisée seront refusées, même s'il présente un cookie d'authentification par ailleurs valide (potentiellement volé à un utilisateur). Pour plus d'informations, consultez [Limiter l'accès pour diffuser des applications Amazon AppStream 2.0 sur vos plages d'adresses IP](https://aws.amazon.com/blogs/desktop-and-application-streaming/limit-access-to-stream-amazon-appstream-2-0-applications-to-your-ip-ranges/).
+ **Ajoutez une authentification supplémentaire** : pour lancer des instances de streaming jointes à un domaine, vous pouvez associer vos flottes Windows et vos WorkSpaces générateurs d'images Applications Always-On et On-Demand à des domaines de Microsoft Active Directory, et utiliser vos domaines Active Directory existants, qu'ils soient basés sur le cloud ou sur site. Après l'authentification initiale basée sur SAML, vos utilisateurs seront invités à fournir leurs informations d'identification de domaine pour une authentification supplémentaire auprès du domaine de l'organisation. Pour de plus amples informations, veuillez consulter [Utilisation d'Active Directory avec des WorkSpaces applications](active-directory.md).

 Si vous avez des inquiétudes ou si vous avez besoin d'aide, contactez le [AWS Support centre](https://console.aws.amazon.com/support/home#/). 

# Journalisation et surveillance dans les WorkSpaces applications Amazon
<a name="logging-monitoring-alerting"></a>

La surveillance joue un rôle important dans le maintien de la fiabilité, de la disponibilité et des performances des WorkSpaces applications Amazon. Cette rubrique décrit les services et outils qui AWS permettent de surveiller les ressources de vos WorkSpaces applications et de répondre aux incidents potentiels.

** CloudWatch Alarmes Amazon**  
 CloudWatch Les alarmes Amazon vous permettent de surveiller une seule métrique sur une période que vous spécifiez. Si la métrique dépasse un seuil donné, une notification est envoyée à un sujet ou à une AWS Auto Scaling politique Amazon Simple Notification Service. CloudWatch les alarmes n'invoquent pas d'actions se trouvant dans un état particulier. L'état doit avoir changé et avoir été conservé pendant un nombre de périodes spécifié. Pour de plus amples informations, veuillez consulter [Surveillance des ressources WorkSpaces des applications Amazon](monitoring.md).  
WorkSpaces Les applications ne peuvent actuellement pas être configurées comme cibles pour les CloudWatch événements. Pour obtenir la liste des services que vous pouvez configurer comme cibles pour des CloudWatch événements, consultez [What Is Amazon CloudWatch Events](https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/WhatIsCloudWatchEvents.html).

**AWS CloudTrail**  
AWS CloudTrail fournit un enregistrement des actions entreprises par un utilisateur, un rôle ou un AWS service dans WorkSpaces les applications. Cet enregistrement vous permet de déterminer la demande qui a été faite aux WorkSpaces applications, l'adresse IP à partir de laquelle la demande a été faite, qui a fait la demande, quand elle a été faite et des détails supplémentaires. Pour de plus amples informations, veuillez consulter [Journalisation des appels WorkSpaces d'API Amazon Applications avec AWS CloudTrail](logging-using-cloudtrail.md). 

**AWS Trusted Advisor**  
AWS Trusted Advisor inspecte votre AWS environnement, puis recommande des moyens d'économiser de l'argent, d'améliorer la disponibilité et les performances du système ou de contribuer à combler les failles de sécurité. Trusted Advisor utilise les bonnes pratiques recueillies auprès de divers clients AWS . Tous les AWS clients ont accès à cinq Trusted Advisor chèques. Si vous avez un plan de support Business ou Enterprise, vous pouvez consulter tous les Trusted Advisor chèques.  
Lorsque vous activez [la persistance des paramètres de l'application](how-it-works-app-settings-persistence.md) [ou les dossiers](home-folders-admin.md) personnels pour vos utilisateurs, les données générées par vos utilisateurs sont stockées dans des compartiments Amazon S3. Trusted Advisor contient les vérifications suivantes relatives à Amazon S3 :  
+ Configuration de journalisation des compartiments Amazon S3.
+ Contrôles de sécurité pour les compartiments Amazon S3 dont les autorisations permettent un libre accès.
+ Vérifications de la tolérance aux pannes pour les compartiments Amazon S3 pour lesquels la gestion des versions est désactivée ou suspendue. 
Pour plus d'informations, consultez [AWS Trusted Advisor](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor.html) dans le *Guide de l'utilisateur AWS Support *.

**Journaux d’accès Amazon S3**  
Si vos utilisateurs possèdent des données de paramètres d’application ou de dossiers de base stockées dans des compartiments Amazon S3, pensez à consulter les journaux d’accès au serveur Amazon S3 pour surveiller les accès. Ces journaux contiennent des enregistrements détaillés sur les demandes envoyées à un compartiment. Les journaux d’accès au serveur sont utiles pour de nombreuses applications. Par exemple, les informations des journaux d’accès peuvent s’avérer utiles en cas d’audit de sécurité ou d’audit des accès. Pour plus d’informations, consultez [Journalisation des accès au serveur Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/ServerLogs.html) dans le *Guide de l’utilisateur Amazon Simple Storage Service*.

**WorkSpaces Rapports d'utilisation des applications**  
Vous pouvez vous abonner aux rapports d'utilisation des WorkSpaces applications pour recevoir des rapports détaillés sur la façon dont vos utilisateurs utilisent le service. Les rapports indiquent la durée de diffusion des utilisateurs et les applications qu'ils lancent. Pour plus d’informations, consultez [WorkSpaces Rapports d'utilisation des applications](configure-usage-reports.md). 

# Validation de conformité pour les WorkSpaces applications Amazon
<a name="compliance-validation"></a>

Des auditeurs tiers évaluent la sécurité et la conformité des WorkSpaces applications Amazon dans le cadre de plusieurs programmes de AWS conformité. Ceux-ci comprennent : [SOC](https://aws.amazon.com/compliance/soc-faqs/), [PCI](https://aws.amazon.com/compliance/pci-dss-level-1-faqs), [ISO](https://aws.amazon.com/compliance/iso-certified/), [FedRAMP](https://aws.amazon.com/compliance/fedramp/), [HIPAA](https://aws.amazon.com/compliance/hipaa-compliance/), [MTCS](https://aws.amazon.com/compliance/aws-multitiered-cloud-security-standard-certification/), [ENS High](https://aws.amazon.com/compliance/esquema-nacional-de-seguridad/), [HITRUST CSF](https://aws.amazon.com/compliance/hitrust/), [VPAT](https://aws.amazon.com/compliance/vpat/) et d'autres.

**Note**  
WorkSpaces Les applications sont compatibles avec la [norme FIPS 140-2](https://aws.amazon.com/compliance/fips/). Pour plus d'informations sur l'utilisation des points de terminaison FIPS des WorkSpaces applications à des fins administratives ou pour le streaming, consultez. [Protection des données en transit avec les points de terminaison FIPS](protecting-data-in-transit-FIPS-endpoints.md)  
WorkSpaces Les candidatures sont également en cours d'évaluation pour le [Guide des exigences de sécurité du cloud computing (SRG) du ministère de la Défense (DoD)](https://aws.amazon.com/compliance/dod/).

Pour une liste des AWS services concernés par des programmes de conformité spécifiques, voir [AWS Services concernés par programme de conformitéAWS](https://aws.amazon.com/compliance/services-in-scope/) . Pour obtenir des renseignements généraux, consultez [Programmes de conformitéAWS](https://aws.amazon.com/compliance/programs/) .

Vous pouvez télécharger des rapports d'audit tiers à l'aide de AWS Artifact. Pour plus d'informations, voir [Téléchargement de rapports dans AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .

Lorsque vous utilisez WorkSpaces des applications, votre responsabilité en matière de conformité dépend de la sensibilité de vos données, des objectifs de conformité de votre entreprise et des lois et réglementations applicables. AWS fournit les ressources suivantes pour faciliter la mise en conformité :
+ [Guides démarrage rapide de la sécurité et de la conformité](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance). Ces guides de déploiement traitent des considérations architecturales et fournissent des étapes pour déployer des environnements de base axés sur la sécurité et la conformité sur AWS.
+ Livre blanc [sur l'architecture pour la sécurité et la conformité HIPAA — Ce livre blanc](https://d0.awsstatic.com/whitepapers/compliance/AWS_HIPAA_Compliance_Whitepaper.pdf) décrit comment les entreprises peuvent créer des applications conformes à la loi HIPAA. AWS 
+ AWS Ressources de [https://aws.amazon.com/compliance/resources/](https://aws.amazon.com/compliance/resources/) de conformité — Cette collection de classeurs et de guides peut s'appliquer à votre secteur d'activité et à votre région.
+ [Évaluation des ressources à l'aide des règles](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) du *guide du AWS Config développeur* : le AWS Config service évalue dans quelle mesure les configurations de vos ressources sont conformes aux pratiques internes, aux directives du secteur et aux réglementations.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— Ce AWS service fournit une vue complète de l'état de votre sécurité interne, AWS ce qui vous permet de vérifier votre conformité aux normes et aux meilleures pratiques du secteur de la sécurité.

# Résilience dans WorkSpaces les applications Amazon
<a name="disaster-recovery-resiliency"></a>

L'infrastructure AWS mondiale est construite autour des AWS régions et des zones de disponibilité. Les régions fournissent plusieurs zones de disponibilité physiquement séparées et isolées, reliées par un réseau à latence faible, à débit élevé et à forte redondance. Avec les zones de disponibilité, vous pouvez concevoir et exploiter des applications et des bases de données qui basculent automatiquement d’une zone à l’autre sans interruption. Les zones de disponibilité sont davantage disponibles, tolérantes aux pannes et ont une plus grande capacité de mise à l’échelle que les infrastructures traditionnelles à un ou plusieurs centres de données.

Pour plus d'informations sur AWS les régions et les zones de disponibilité, consultez la section [Infrastructure AWS mondiale](https://aws.amazon.com/about-aws/global-infrastructure/).

# Sécurité de l'infrastructure dans les WorkSpaces applications Amazon
<a name="infrastructure-security"></a>

En tant que service géré, Amazon WorkSpaces Applications est protégé par la sécurité du réseau AWS mondial. Pour plus d'informations sur les services AWS de sécurité et sur la manière dont AWS l'infrastructure est protégée, consultez la section [Sécurité du AWS cloud](https://aws.amazon.com/security/). Pour concevoir votre AWS environnement en utilisant les meilleures pratiques en matière de sécurité de l'infrastructure, consultez la section [Protection de l'infrastructure](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) dans le cadre * AWS bien architecturé du pilier de sécurité*.

Vous utilisez des appels d'API AWS publiés pour accéder aux WorkSpaces applications via le réseau. Les clients doivent prendre en charge les éléments suivants :
+ Protocole TLS (Transport Layer Security). Nous exigeons TLS 1.2 et recommandons TLS 1.3.
+ Ses suites de chiffrement PFS (Perfect Forward Secrecy) comme DHE (Ephemeral Diffie-Hellman) ou ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La plupart des systèmes modernes tels que Java 7 et les versions ultérieures prennent en charge ces modes.

Les rubriques suivantes fournissent des informations supplémentaires sur la sécurité de l'infrastructure des WorkSpaces applications.

**Topics**
+ [Isolement du réseau](network-isolation.md)
+ [Isolation sur les hôtes physiques](physical-isolation.md)
+ [Contrôle du trafic réseau](control-network-traffic.md)
+ [WorkSpaces Points de terminaison VPC de l'interface des applications](interface-vpc-endpoints.md)
+ [Protection des données en transit avec les points de terminaison FIPS](protecting-data-in-transit-FIPS-endpoints.md)

# Isolement du réseau
<a name="network-isolation"></a>

Un cloud privé virtuel (VPC) est un réseau virtuel situé dans votre propre zone logiquement isolée du cloud Amazon Web Services. Utilisez la méthode séparée VPCs pour isoler l'infrastructure par charge de travail ou entité organisationnelle.

Un sous-réseau est une plage d’adresses IP dans un VPC. Lorsque vous lancez une instance, vous la lancez dans un sous-réseau de votre VPC. Utilisez des sous-réseaux pour isoler les niveaux de votre application (par exemple, web, application et base de données) dans un VPC unique. Utilisez des sous-réseaux privés pour vos instances si elles ne doivent pas être accessibles directement à partir d'Internet.

Vous pouvez diffuser des instances de streaming depuis des WorkSpaces applications dans votre VPC sans passer par l'Internet public. Pour ce faire, utilisez un point de terminaison de VPC d’interface (point de terminaison d’interface). Pour de plus amples informations, veuillez consulter [Tutoriel : Création et diffusion à partir de points de terminaison VPC d'interface](creating-streaming-from-interface-vpc-endpoints.md).

Vous pouvez également appeler WorkSpaces les opérations de l'API Applications depuis votre VPC sans envoyer de trafic via l'Internet public en utilisant un point de terminaison d'interface. Pour plus d'informations, consultez [Accédez aux WorkSpaces applications, aux opérations d'API et aux commandes CLI via un point de terminaison VPC d'interface](access-api-cli-through-interface-vpc-endpoint.md).

# Isolation sur les hôtes physiques
<a name="physical-isolation"></a>

Les différentes instances de streaming sur un même hôte physique sont isolées les unes des autres, comme si elles se trouvaient sur des hôtes physiques distincts. L’hyperviseur isole l’UC et la mémoire, et les instances sont équipées de disques virtuels au lieu d’accéder aux disques bruts.

Lorsque vous arrêtez ou terminez une instance de streaming, la mémoire qui lui est allouée est nettoyée (remise à zéro) par l'hyperviseur avant d'être allouée à une nouvelle instance, et chaque bloc de stockage est réinitialisé. Ainsi, vos données ne sont pas exposées à une autre instance. 

# Contrôle du trafic réseau
<a name="control-network-traffic"></a>

Pour vous aider à contrôler le trafic réseau vers vos instances de streaming d' WorkSpaces applications, envisagez les options suivantes :
+ Lorsque vous lancez une instance de AppStream streaming Amazon, vous la lancez dans un sous-réseau de votre VPC. Vous pouvez déployer des instances de streaming sur un sous-réseau privé si elles ne doivent pas être accessibles via Internet.
+ Pour fournir un accès Internet à vos instances de streaming sur un sous-réseau privé, utilisez une passerelle NAT. Pour de plus amples informations, veuillez consulter [Configuration d’un VPC avec des sous-réseaux privés et une passerelle NAT](managing-network-internet-NAT-gateway.md).
+ Les groupes de sécurité appartenant à votre VPC vous permettent de contrôler le trafic réseau entre les instances de streaming d' WorkSpaces applications et les ressources VPC telles que les serveurs de licences, les serveurs de fichiers et les serveurs de base de données. Les groupes de sécurité isolent également le trafic entre vos instances de streaming et WorkSpaces les services de gestion des applications. 

  Utilisez des groupes de sécurité pour restreindre l'accès à vos instances de streaming. Par exemple, vous pouvez autoriser uniquement le trafic provenant des plages d’adresses de votre réseau d’entreprise. Pour de plus amples informations, veuillez consulter [Groupes de sécurité dans les WorkSpaces applications Amazon](managing-network-security-groups.md). 
+ Vous pouvez diffuser des instances de streaming depuis des WorkSpaces applications dans votre VPC sans passer par l'Internet public. Pour ce faire, utilisez un point de terminaison de VPC d’interface (point de terminaison d’interface). Pour de plus amples informations, veuillez consulter [Tutoriel : Création et diffusion à partir de points de terminaison VPC d'interface](creating-streaming-from-interface-vpc-endpoints.md).

  Vous pouvez également appeler WorkSpaces les opérations de l'API Applications depuis votre VPC sans envoyer de trafic via l'Internet public en utilisant un point de terminaison d'interface. Pour de plus amples informations, veuillez consulter [Accédez aux WorkSpaces applications, aux opérations d'API et aux commandes CLI via un point de terminaison VPC d'interface](access-api-cli-through-interface-vpc-endpoint.md).
+ Utilisez les rôles et les politiques IAM pour gérer l'accès des administrateurs aux WorkSpaces applications, à Application Auto Scaling et aux compartiments Amazon S3. Pour plus d’informations, consultez les rubriques suivantes :
  + [Utilisation de politiques AWS gérées et de rôles liés pour gérer l'accès des administrateurs aux ressources WorkSpaces des applications](controlling-administrator-access-with-policies-roles.md)
  + [Utilisation des politiques IAM pour gérer l’accès administrateur à Application Auto Scaling](autoscaling-iam-policy.md)
  + [Restriction de l’accès administrateur au compartiment Amazon S3 pour les dossiers de base et la persistance des paramètres d’application](s3-iam-policy-restricted-access.md)
+ Vous pouvez utiliser SAML 2.0 pour fédérer l'authentification aux WorkSpaces applications. Pour de plus amples informations, veuillez consulter [Quotas du Service Amazon WorkSpaces Applications](limits.md).
**Note**  
Pour les petits déploiements d' WorkSpaces applications, vous pouvez utiliser WorkSpaces des groupes d'utilisateurs d'applications. Par défaut, les groupes d'utilisateurs prennent en charge un maximum de 50 utilisateurs. Pour plus d'informations sur WorkSpaces les quotas d'applications (également appelés limites), consultez[Quotas du Service Amazon WorkSpaces Applications](limits.md). Pour les déploiements qui doivent prendre en charge au moins 100 utilisateurs d' WorkSpaces applications, nous recommandons d'utiliser SAML 2.0.

# WorkSpaces Points de terminaison VPC de l'interface des applications
<a name="interface-vpc-endpoints"></a>

Un cloud privé virtuel (VPC) est un réseau virtuel situé dans votre propre zone logiquement isolée du cloud Amazon Web Services. Si vous utilisez Amazon Virtual Private Cloud pour héberger vos AWS ressources, vous pouvez établir une connexion privée entre votre VPC et WorkSpaces les applications. Vous pouvez utiliser cette connexion pour permettre aux WorkSpaces applications de communiquer avec vos ressources sur votre VPC sans passer par l'Internet public.

Les points de terminaison de l'interface sont alimentés par AWS PrivateLink une technologie qui vous permet de continuer à diffuser le trafic au sein d'un VPC que vous spécifiez à l'aide d'adresses IP privées. Lorsque vous utilisez le VPC avec un AWS Virtual Private Network tunnel Direct Connect OR, vous pouvez conserver le trafic de streaming au sein de votre réseau. 

Les rubriques suivantes fournissent des informations sur les points de terminaison de l'interface WorkSpaces des applications.

**Topics**
+ [Tutoriel : Création et diffusion à partir de points de terminaison VPC d'interface](creating-streaming-from-interface-vpc-endpoints.md)
+ [Accédez aux WorkSpaces applications, aux opérations d'API et aux commandes CLI via un point de terminaison VPC d'interface](access-api-cli-through-interface-vpc-endpoint.md)

# Tutoriel : Création et diffusion à partir de points de terminaison VPC d'interface
<a name="creating-streaming-from-interface-vpc-endpoints"></a>

Vous pouvez utiliser un point de terminaison VPC d'interface dans votre compte Amazon Web Services pour restreindre tout le trafic réseau entre votre Amazon VPC et les applications WorkSpaces vers le réseau Amazon. Après avoir créé ce point de terminaison, vous configurez votre pile d' WorkSpaces applications ou votre générateur d'images pour l'utiliser. 

**Conditions préalables**

Avant de configurer les points de terminaison VPC d'interface pour les WorkSpaces applications, tenez compte des conditions préalables suivantes :
+ La connectivité Internet est nécessaire pour authentifier les utilisateurs et fournir les ressources Web dont WorkSpaces les applications ont besoin pour fonctionner. Le point de terminaison de l'interface de streaming gère le trafic de streaming au sein de votre VPC. Le trafic de streaming inclut les pixels, l’USB, l’entrée utilisateur, l’audio, le presse-papiers, le chargement et le téléchargement de fichiers et le trafic d’imprimante. Pour autoriser ce trafic, vous devez autoriser les domaines répertoriés dans [Domaines autorisés](allowed-domains.md). Après avoir créé le point de terminaison VPC, vous devez autoriser les domaines d'authentification WorkSpaces des utilisateurs des applications. Toutefois, pour les passerelles de streaming, vous pouvez restreindre l'accès à < vpc-endpoint-id > .streaming.appstream uniquement. <aws-region>.vpce.amazonaws.com. Il n'est pas obligatoire d'autoriser la mise en vente sur \$1.amazonappstream.com. Le nom de domaine complet du point de terminaison VPC remplace cette dépendance.
+ Le réseau auquel les périphériques de vos utilisateurs sont connectés doit être en mesure d'acheminer le trafic vers le point de terminaison d'interface.
+ Les groupes de sécurité associés au point de terminaison d'interface doivent autoriser l'accès entrant au port 443 (TCP) et aux ports 1400-1499 (TCP) à partir de la plage d'adresses IP depuis laquelle vos utilisateurs se connectent.
+ La liste de contrôle d’accès réseau pour les sous-réseaux doit autoriser le trafic sortant depuis les ports réseau éphémères 1024-65535 (TCP) vers la plage d’adresses IP depuis laquelle vos utilisateurs se connectent.
+ Vous devez disposer d'une politique d'autorisations IAM Compte AWS qui fournit les autorisations nécessaires pour effectuer l'action d'`ec2:DescribeVpcEndpoints`API. Par défaut, cette autorisation est définie dans la politique IAM associée au AmazonAppStreamServiceAccess rôle. Si vous disposez des autorisations requises, ce rôle de service est automatiquement créé par WorkSpaces Applications, avec les politiques IAM requises associées, lorsque vous démarrez avec le service WorkSpaces Applications dans une AWS région. Pour de plus amples informations, veuillez consulter [Identity and Access Management pour les WorkSpaces applications Amazon](controlling-access.md).

**Pour créer un point de terminaison d'interface**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, sélectionnez **Points de terminaison**, **Créer un point de terminaison**.

1. Choisissez **Créer un point de terminaison**.

1. Pour la **catégorie de service**, assurez-vous que **AWSles services** sont sélectionnés. 

1. Pour **Service Name (Nom du service)**, choisissez **com.amazonaws.***<Région AWS>***.appstream.streaming**.

1. Spécifiez les informations suivantes. Lorsque vous avez terminé, choisissez **Créer un point de terminaison**. 
   + Pour **VPC**, choisissez un VPC dans lequel créer le point de terminaison d'interface. Vous pouvez choisir un VPC différent du VPC doté de ressources d'applications. WorkSpaces 
   + Pour **Sous-réseaux**, choisissez les sous-réseaux (zones de disponibilité) dans lesquels créer les interfaces réseau du point de terminaison. Nous vous recommandons de choisir des sous-réseaux dans au moins deux zones de disponibilité.
   + Pour le **type d'adresse IP**, choisissez IPV6 soit IPV4.
   + Assurez-vous que la case **Activer un nom de DNS privé** est cochée. 
**Note**  
Si vos utilisateurs utilisent un proxy réseau pour accéder aux instances de streaming, désactivez toute mise en cache de proxy sur le domaine et les noms de DNS associés au point de terminaison privé. Le nom DNS du point de terminaison VPC doit être autorisé via le proxy.
   + Pour **Groupe de sécurité**, sélectionnez les groupes de sécurité à associer aux interfaces réseau du point de terminaison. 
**Note**  
Les groupes de sécurité doivent fournir un accès entrant aux ports à partir de la plage d’adresses IP depuis laquelle vos utilisateurs se connectent.

Pendant la création de votre point de terminaison d’interface, l’état du point de terminaison dans la console est **En attente**. Une fois votre point de terminaison créé, l’état passe à **Disponible.** 

 Pour mettre à jour une pile afin d’utiliser le point de terminaison d’interface que vous avez créé pour les sessions de streaming, procédez comme suit.

**Pour mettre à jour une pile afin d'utiliser un nouveau point de terminaison d'interface**

1. Ouvrez la console WorkSpaces Applications à la [https://console.aws.amazon.com/appstream2/maison](https://console.aws.amazon.com/appstream2/home).

   Assurez-vous d'ouvrir la console dans la même AWS région que le point de terminaison de l'interface que vous souhaitez utiliser.

1. Dans le volet de navigation, choisissez **Piles**, puis choisissez la pile souhaitée.

1. Sélectionnez l’onglet **Points de terminaison VPC**, puis **Modifier**.

1. Dans la boîte de dialogue **Modifier le point de terminaison d’un VPC**, pour **Point de terminaison de streaming**, choisissez le point de terminaison via lequel vous souhaitez diffuser le trafic.

1. Choisissez **Mettre à jour**.

Le trafic pour les nouvelles sessions de streaming sera acheminé via ce point de terminaison. Toutefois, le trafic des sessions de streaming actuelles continue d'être acheminé via le point de terminaison spécifié précédemment.

**Note**  
Les utilisateurs ne peuvent pas diffuser en continu à l'aide du point de terminaison Internet lorsqu'un point de terminaison d'interface est spécifié.

# Accédez aux WorkSpaces applications, aux opérations d'API et aux commandes CLI via un point de terminaison VPC d'interface
<a name="access-api-cli-through-interface-vpc-endpoint"></a>

Si vous utilisez Amazon Virtual Private Cloud pour héberger vos AWS ressources, vous pouvez vous connecter directement aux opérations de l'API des WorkSpaces applications ou aux commandes de l'interface de ligne de commande (CLI) via un point de [terminaison VPC d'interface (point](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) de terminaison d'interface) dans votre cloud privé virtuel (VPC) au lieu de vous connecter via Internet. Les points de terminaison de l'interface sont alimentés par AWS PrivateLink une technologie qui vous permet de continuer à diffuser le trafic au sein d'un VPC que vous spécifiez à l'aide d'adresses IP privées. Lorsque vous utilisez un point de terminaison d'interface, la communication entre votre VPC et WorkSpaces les applications s'effectue de manière entièrement et sécurisée au sein du AWS réseau.

**Note**  
Cette rubrique décrit comment accéder aux opérations de l'API WorkSpaces Applications et aux commandes de la CLI via un point de terminaison d'interface. Pour plus d'informations sur la création et le streaming à partir des points de terminaison de l'interface WorkSpaces Applications, consultez[Tutoriel : Création et diffusion à partir de points de terminaison VPC d'interface](creating-streaming-from-interface-vpc-endpoints.md).

**Conditions préalables**

Pour utiliser les points de terminaison d'interface, vous devez remplir les conditions préalables suivantes :
+ Les groupes de sécurité associés au point de terminaison d'interface doivent autoriser l'accès entrant au port 443 (TCP) à partir de la plage d'adresses IP depuis laquelle vos utilisateurs se connectent.
+ La liste de contrôle d’accès réseau pour les sous-réseaux doit autoriser le trafic sortant depuis les ports réseau éphémères 1024-65535 (TCP) vers la plage d’adresses IP depuis laquelle vos utilisateurs se connectent.

**Topics**
+ [Création d'un point de terminaison d'interface pour accéder aux WorkSpaces applications, aux opérations d'API et aux commandes de la CLI](access-api-cli-through-interface-vpc-endpoint-create-interface-endpoint.md)
+ [Utiliser un point de terminaison d'interface pour accéder aux WorkSpaces applications, aux opérations d'API et aux commandes de la CLI](how-to-access-api-cli-through-interface-vpc-endpoint.md)

# Création d'un point de terminaison d'interface pour accéder aux WorkSpaces applications, aux opérations d'API et aux commandes de la CLI
<a name="access-api-cli-through-interface-vpc-endpoint-create-interface-endpoint"></a>

Effectuez les étapes suivantes pour créer un point de terminaison d'interface.

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, sélectionnez **Points de terminaison**, **Créer un point de terminaison**.

1. Choisissez **Créer un point de terminaison**.

1. Pour la **catégorie de service**, assurez-vous que **AWSles services** sont sélectionnés. 

1. Pour **Service Name (Nom du service)**, choisissez **com.amazonaws.***<Région AWS>***.appstream.api**.

1. Spécifiez les informations suivantes. Lorsque vous avez terminé, choisissez **Créer un point de terminaison**. 
   + Pour **VPC**, sélectionnez un VPC dans lequel créer le point de terminaison d’interface. 
   + Pour **Sous-réseaux**, sélectionnez les sous-réseaux (zones de disponibilité) dans lesquels créer les interfaces réseau du point de terminaison. Nous vous recommandons de choisir des sous-réseaux dans au moins deux zones de disponibilité.
   + Le cas échéant, vous pouvez cocher la case **Activer un nom de DNS privé**.
**Note**  
Si vous sélectionnez cette option, assurez-vous de configurer le VPC et le DNS de manière à prendre en charge le DNS privé. Pour plus d’informations, consultez [DNS rivé](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-private-dns) dans le * Guide de l’utilisateur Amazon VPC*.
   + Pour **Groupe de sécurité**, sélectionnez les groupes de sécurité à associer aux interfaces réseau du point de terminaison. 
**Note**  
Les groupes de sécurité doivent fournir un accès entrant aux ports à partir de la plage d’adresses IP depuis laquelle vos utilisateurs se connectent.

Pendant la création de votre point de terminaison d’interface, l’état du point de terminaison dans la console est **En attente**. Une fois votre point de terminaison créé, l’état passe à **Disponible.**

# Utiliser un point de terminaison d'interface pour accéder aux WorkSpaces applications, aux opérations d'API et aux commandes de la CLI
<a name="how-to-access-api-cli-through-interface-vpc-endpoint"></a>

Une fois que le statut du point de terminaison VPC de l'interface que vous créez est modifié en **Disponible**, vous pouvez utiliser le point de terminaison pour accéder aux opérations de l'API WorkSpaces des applications et aux commandes de la CLI. Pour ce faire, spécifiez le paramètre `endpoint-url` avec le nom DNS du point de terminaison d'interface lorsque vous utilisez ces opérations et commandes. Le nom DNS est publiquement résolu, mais il achemine uniquement avec succès le trafic dans votre VPC. 

L'exemple suivant montre comment spécifier le nom DNS du point de terminaison d'interface lorsque vous utilisez la commande CLI **describe-fleets** :

```
aws appstream describe-fleets --endpoint-url <vpc-endpoint-id>.api.appstream.<aws-region>.vpce.amazonaws.com
```

L'exemple suivant montre comment spécifier le nom DNS du point de terminaison de l'interface lorsque vous instanciez le client Python WorkSpaces Applications Boto3 :

```
appstream2client = boto3.client('appstream',region_name='<aws-region>',endpoint_url='<vpc-endpoint-id>.api.appstream.<aws-region>.vpce.amazonaws.com'
```

Les commandes suivantes utilisant l'objet `appstream2client` utilisent automatiquement le point de terminaison d'interface que vous avez spécifié.

Si vous avez activé les noms d'hôte DNS privés sur le point de terminaison d'interface, vous n'avez pas besoin de spécifier l'URL du point de terminaison. Le nom d'hôte DNS de l'API WorkSpaces Applications utilisé par défaut par l'API et la CLI est résolu au sein de votre VPC. Pour plus d’informations sur les noms d’hôte DNS privés, consultez [DNS privé](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-private-dns) dans le *Guide de l’utilisateur Amazon VPC*.

# Protection des données en transit avec les points de terminaison FIPS
<a name="protecting-data-in-transit-FIPS-endpoints"></a>

Par défaut, lorsque vous communiquez avec le service WorkSpaces Applications, que ce soit en tant qu'administrateur à l'aide de la console WorkSpaces Applications, de l'interface de ligne de AWS commande (AWS CLI) ou d'un AWS SDK, ou en tant qu'utilisateur diffusant depuis un générateur d'images ou une instance de flotte, toutes les données en transit sont cryptées à l'aide du protocole TLS 1.2.

Si vous avez besoin de modules cryptographiques validés par la norme FIPS 140-2 pour accéder AWS via une interface de ligne de commande ou une API, utilisez un point de terminaison FIPS. WorkSpaces Applications propose des points de terminaison FIPS dans toutes les AWS régions des États-Unis d'Amérique où les applications sont disponibles. WorkSpaces Lorsque vous utilisez un point de terminaison FIPS, toutes les données en transit sont chiffrées à l'aide de normes de chiffrement conformes à la norme FIPS (Federal Information Processing Standard) 140-2. Pour plus d'informations sur les points de terminaison FIPS, y compris une liste des points de terminaison des WorkSpaces applications, voir [Federal Information Processing Standard (FIPS](https://aws.amazon.com/compliance/fips)) 140-2.

**Topics**
+ [Points de terminaison FIPS à usage administratif](FIPS-for-administrative-use.md)
+ [Points de terminaison FIPS pour les sessions de streaming utilisateur](FIPS-for-user-streaming-sessions.md)
+ [Exceptions](FIPS-exceptions.md)

# Points de terminaison FIPS à usage administratif
<a name="FIPS-for-administrative-use"></a>

Pour spécifier un point de terminaison FIPS lorsque vous exécutez une AWS CLI commande pour WorkSpaces Applications, utilisez le `endpoint-url` paramètre. L'exemple suivant utilise le point de terminaison WorkSpaces Applications FIPS dans la région USA Ouest (Oregon) pour récupérer une liste de toutes les piles de la région :

```
aws appstream describe-stacks --endpoint-url https://appstream2-fips.us-west-2.amazonaws.com
```

Pour spécifier un point de terminaison FIPS pour les opérations d'API d' WorkSpaces applications, utilisez la procédure de votre AWS SDK pour spécifier un point de terminaison personnalisé.

# Points de terminaison FIPS pour les sessions de streaming utilisateur
<a name="FIPS-for-user-streaming-sessions"></a>

Si vous utilisez SAML 2.0 ou une URL de streaming pour authentifier les utilisateurs, vous pouvez configurer des connexions conformes à FIPS pour les sessions de streaming de vos utilisateurs.

Pour utiliser une connexion conforme à la norme FIPS pour les utilisateurs qui s'authentifient à l'aide de SAML 2.0, spécifiez un point de terminaison FIPS pour WorkSpaces les applications lorsque vous configurez l'état du relais de votre fédération. Pour de plus amples informations sur la construction d'une URL d'état de relais pour la fédération d'identité à l'aide de SAML 2.0, veuillez consulter [Configuration de SAML](external-identity-providers-setting-up-saml.md).

Pour configurer une connexion conforme à la norme FIPS pour les utilisateurs qui s'authentifient via une URL de streaming, spécifiez un point de terminaison FIPS pour WorkSpaces applications lorsque vous appelez l'[CreateStreamingURL ou l'[CreateImageBuilderStreamingopération](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateImageBuilderStreamingURL.html) URL](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateStreamingURL.html) depuis la CLI AWS ou un SDK. AWS Un utilisateur qui se connecte à une instance de streaming à l'aide de l'URL résultante est connecté via une connexion conforme à FIPS. L'exemple suivant utilise le point de terminaison WorkSpaces Applications FIPS dans la région USA Est (Virginie) pour générer une URL de streaming conforme à la norme FIPS :

```
aws appstream create-streaming-url --stack-name stack-name --fleet-name fleet-name --user-id user-id --endpoint-url https://appstream2-fips.us-east-1.amazonaws.com
```

# Exceptions
<a name="FIPS-exceptions"></a>

Les connexions conformes à FIPS ne sont pas prises en charge dans les scénarios suivants :
+ Administration des WorkSpaces applications via la console WorkSpaces Applications
+ Sessions de streaming pour les utilisateurs qui s'authentifient à l'aide de la fonctionnalité de pool d'utilisateurs WorkSpaces des applications
+ Streaming à l'aide d'un point de terminaison de VPC d'interface
+ Génération d'un streaming conforme à la norme FIPS URLs via la console Applications WorkSpaces 
+ Connexions à votre compte Google Drive ou à vos comptes OneDrive de stockage lorsque votre fournisseur de stockage ne fournit pas de point de terminaison FIPS

# Groupes de sécurité dans les WorkSpaces applications Amazon
<a name="managing-network-security-groups"></a>

Vous pouvez fournir un contrôle d'accès supplémentaire à votre VPC à partir d'instances de streaming d'un parc ou d'un générateur d'images dans Amazon WorkSpaces Applications en les associant à des groupes de sécurité VPC. Les groupes de sécurité appartenant à votre VPC vous permettent de contrôler le trafic réseau entre les instances de streaming d' WorkSpaces applications et les ressources VPC telles que les serveurs de licences, les serveurs de fichiers et les serveurs de base de données. Pour plus d’informations, consultez [Groupes de sécurité pour votre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) dans le *Guide de l’utilisateur Amazon VPC*.

Les règles que vous définissez pour votre groupe de sécurité VPC sont appliquées lorsque ce dernier est associé à une flotte ou à une instance Image Builder. Les règles du groupe de sécurité déterminent le trafic réseau autorisé à partir de vos instances de streaming. Pour plus d’informations, consultez [Règles des groupes de sécurité](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#SecurityGroupRules) dans le *Guide de l’utilisateur Amazon VPC*.

Vous pouvez associer jusqu’à cinq groupes de sécurité lors du lancement d’une nouvelle instance Image Builder ou lors de la création d’une nouvelle flotte. Vous pouvez également associer des groupes de sécurité à une flotte existante ou modifier les groupes de sécurité d’une flotte (pour modifier les groupes de sécurité d’une flotte, vous devez d’abord arrêter la flotte). Pour plus d’informations, consultez [Utilisation des groupes de sécurité](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups) dans le *Guide de l’utilisateur Amazon VPC*.

Si vous ne sélectionnez aucun groupe de sécurité, votre instance Image Builder est associée au groupe de sécurité par défaut de votre VPC. Pour de plus amples informations, consultez [Groupes de sécurité par défaut de votre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#DefaultSecurityGroup) dans le *Guide de l’utilisateur Amazon VPC*.

Tenez compte de ces considérations supplémentaires lorsque vous utilisez des groupes de sécurité avec WorkSpaces des applications.
+ Toutes les données utilisateur, telles que le trafic Internet, les données du dossier de base ou la communication d’application avec des ressources VPC, sont affectées par les groupes de sécurité associés à l’instance de streaming.
+ Les données de pixel de streaming ne sont pas affectées par les groupes de sécurité.
+ Si vous avez activé l’accès Internet par défaut pour votre flotte ou instance Image Builder, les règles des groupes de sécurité associés doivent autoriser l’accès Internet.

Vous pouvez créer ou modifier les règles de vos groupes de sécurité ou créer de nouveaux groupes de sécurité à l’aide de la console Amazon VPC. 
+ **Pour associer des groupes de sécurité à une instance Image Builder** : suivez les instructions de [Lancer un Image Builder pour l'installation et la configuration d'applications de streaming](tutorial-image-builder-create.md).
+ **Pour associer des groupes de sécurité à une flotte**
  + *Lors de la création de la flotte* : suivez les instructions de [Création d'une flotte dans Amazon WorkSpaces Applications](set-up-stacks-fleets-create.md).
  + *Pour une flotte existante* : modifiez les paramètres de la flotte avec AWS Management Console.

Vous pouvez également associer des groupes de sécurité à vos flottes à l'aide des touches AWS CLI et SDKs.
+ **AWS CLI** : utilisez les commandes [create-fleet](https://docs.aws.amazon.com/cli/latest/reference/appstream/create-fleet.html) et [update-fleet](https://docs.aws.amazon.com/cli/latest/reference/appstream/update-fleet.html).
+ **AWS SDKs**— Utilisez les opérations [CreateFleet](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateFleet.html)et [UpdateFleet](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_UpdateFleet.html)API.

Pour plus d’informations, consultez le [Guide de l’utilisateur AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/) et [Outils pour Amazon Web Services](https://aws.amazon.com/tools/).

# Gestion des mises à jour dans Amazon WorkSpaces Applications
<a name="update-management"></a>

WorkSpaces Applications fournit un moyen automatique de mettre à jour votre générateur d'images avec WorkSpaces les nouveaux logiciels d'applications. Lorsque vos images sont configurées pour toujours utiliser la dernière version de l'agent WorkSpaces Applications, vos instances de streaming sont automatiquement mises à jour avec les dernières fonctionnalités, améliorations de performances et mises à jour de sécurité disponibles auprès de AWS. Pour plus d'informations sur la façon de gérer les versions WorkSpaces des agents d'applications, consultez[Gérer les versions WorkSpaces des agents d'applications](base-images-agent.md). 

Vous êtes responsable de l’installation et de la maintenance des mises à jour du système d’exploitation Windows, de vos applications et de leurs dépendances. Pour de plus amples informations, veuillez consulter [Conservez l'image de vos WorkSpaces applications Amazon Up-to-Date](keep-image-updated.md).

Vous pouvez conserver l'image de vos WorkSpaces applications up-to-date en utilisant les mises à jour d'image WorkSpaces des applications gérées. Cette méthode de mise à jour fournit les dernières mises à jour du système d'exploitation Windows et des pilotes, ainsi que le dernier logiciel d'agent d' WorkSpaces applications. Pour de plus amples informations, veuillez consulter [Mettre à jour une image à l'aide des mises à jour WorkSpaces d'image des applications gérées](keep-image-updated-managed-image-updates.md).

Pour gérer les mises à jour des applications sur les instances de streaming, vous pouvez utiliser les services fournis de mise à jour automatique. Vous pouvez aussi suivre les recommandations d’installation des mises à jour proposées par le fournisseur de l’application. 

# Amazon WorkSpaces Applications Cross-Service : prévention de la confusion chez les adjoints
<a name="confused-deputy"></a>

Le problème du député confus est un problème de sécurité dans lequel une entité qui n’a pas l’autorisation d’effectuer une action peut contraindre une entité dotée de davantage de privilèges à effectuer cette action. Dans AWS, l’emprunt d’identité entre services peut rendre les ressources du compte vulnérables au problème de député confus. L’emprunt d’identité entre services se produit lorsqu’un service (le *service appelant*) appelle un autre service (le *service appelé*). Le service appelant peut manipuler le service appelé pour utiliser ses autorisations afin d’agir sur les ressources d’un client d’une manière que le service appelant n’est pas autorisé à effectuer lui-même. Pour éviter cela, AWS fournit des outils qui vous aident à protéger vos données pour tous les services dont les responsables ont accès aux ressources de votre compte.

Nous vous recommandons d’utiliser les clés de contexte de condition globale `aws:SourceArn` et `aws:SourceAccount` dans des politiques de ressources afin de limiter les autorisations lors de l’accès à ces ressources. Les directives suivantes détaillent les recommandations et les exigences relatives à l’utilisation de ces clés pour protéger vos ressources :
+ Utilisez `aws:SourceArn` si vous souhaitez qu’une seule ressource soit associée à l’accès entre services.
+ Utilisez `aws:SourceAccount` si vous souhaitez autoriser toute ressource du compte spécifié à être associée à l’utilisation entre services.
+ Si la clé `aws:SourceArn` ne contient pas d’ID de compte, vous devez utiliser les deux clés de contexte de condition globale (`aws:SourceArn` et `aws:SourceAccount`) pour limiter les autorisations.
+ Si vous utilisez les deux clés de contexte de condition globale et que la valeur `aws:SourceArn` contient un ID de compte, la clé `aws:SourceAccount` doit utiliser le même ID de compte lorsqu’elle est utilisée dans la même déclaration de politique.

Le moyen le plus efficace de se protéger contre le problème de député confus consiste à utiliser l’Amazon Resource Name (ARN) exact de la ressource que vous souhaitez autoriser. Si vous ne connaissez pas l’ARN complet de la ressource, utilisez la clé de contexte de condition globale `aws:SourceArn` avec des caractères génériques (tels que \$1) pour les parties inconnues de l’ARN. Vous pouvez aussi utiliser un caractère générique dans l’ARN si vous souhaitez spécifier plusieurs ressources. Par exemple, vous pouvez formater l’ARN comme suit : `arn:aws:servicename::region-name::your Compte AWS ID:*`.

**Topics**
+ [Exemple : rôle du service WorkSpaces des applications, interservices, prévention de la confusion chez les adjoints](example-confused-deputy.md)
+ [Exemple : parc WorkSpaces d'applications, rôle des machines, interservices, prévention des adjoints confus](example-fleet-machine.md)
+ [Exemple : WorkSpaces applications Elastic Fleets, script de session, politique de compartiment Amazon S3, interservices, prévention des adjoints confus](example-elastic-fleets.md)
+ [Exemple : Application, WorkSpaces application, politique relative aux compartiments Amazon S3, interservices, prévention de la confusion par les adjoints](example-s3-bucket.md)

# Exemple : rôle du service WorkSpaces des applications, interservices, prévention de la confusion chez les adjoints
<a name="example-confused-deputy"></a>

WorkSpaces Les applications assument un rôle de service en utilisant diverses ressources ARNs, ce qui entraîne une déclaration conditionnelle complexe. Nous vous recommandons d'utiliser un type de ressource générique pour éviter toute défaillance inattendue WorkSpaces des ressources des applications.

**Example `aws:SourceAccount` conditionnel :**    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "appstream.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "your Compte AWS ID"
                }
            }
        }
    ]
}
```

**Example `aws:SourceArn` conditionnel :**    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "appstream.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "ArnLike": {                   
                "aws:SourceArn": "arn:aws:appstream:us-east-1:111122223333:*"
                }
            }
        }
    ]
}
```

# Exemple : parc WorkSpaces d'applications, rôle des machines, interservices, prévention des adjoints confus
<a name="example-fleet-machine"></a>

**Example `aws:SourceAccount` conditionnel :**    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "appstream.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "your Compte AWS ID"
                }
            }
        }
    ]
}
```

**Example `aws:SourceArn` conditionnel :**  
Si vous souhaitez utiliser un rôle IAM pour plusieurs flottes, nous vous recommandons d'utiliser la clé de condition de contexte `aws:SourceArn` globale avec des caractères génériques (\$1) pour faire correspondre les ressources de plusieurs flottes d' WorkSpaces applications.  
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "appstream.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "ArnLike": {
                "aws:SourceArn": "arn:aws:appstream:us-east-1:111122223333:fleet/your-fleet-name"
                }
            }
        }
    ]
}
```

# Exemple : WorkSpaces applications Elastic Fleets, script de session, politique de compartiment Amazon S3, interservices, prévention des adjoints confus
<a name="example-elastic-fleets"></a>

**Example `aws:SourceAccount` conditionnel :**    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "appstream.amazonaws.com"
                ]
            },
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::your-bucket-name/your-session-script-path",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "your Compte AWS ID"
                } 
            }
        }
    ]
}
```

**Example `aws:SourceArn` conditionnel :**    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "appstream.amazonaws.com"
                ]
            },
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::bucket/AppStream2/*",
            "Condition": {
                "ArnLike": {
                "aws:SourceArn": "arn:aws:appstream:us-east-1:111122223333:fleet/yourFleetName"
                }
            }
        }
    ]
}
```

# Exemple : Application, WorkSpaces application, politique relative aux compartiments Amazon S3, interservices, prévention de la confusion par les adjoints
<a name="example-s3-bucket"></a>

Lorsque vous stockez des données dans un compartiment Amazon S3, le compartiment peut être exposé à des problèmes de député confus. Cela peut rendre les données telles que les flottes Elastic, les blocs d’applications, les scripts de configuration, les icônes d’applications et les scripts de session vulnérables aux acteurs malveillants.

Pour éviter les problèmes de député confus, vous pouvez spécifier la condition `aws:SourceAccount` ou `aws:SourceArn` dans la politique de compartiment Amazon S3 pour `ELASTIC-FLEET-EXAMPLE-BUCKET`.

Les politiques de ressources ci-dessous montrent comment éviter le problème de député confus avec l’une des solutions suivantes :
+ Le `aws:SourceAccount` avec votre identifiant AWS de compte
+ La clé de contexte de condition globale `aws:SourceArn`

WorkSpaces Les applications ne prennent actuellement pas en charge la prévention de la confusion par les adjoints pour les icônes d'applications. Le service ne prend en charge que les fichiers VHD et les scripts de configuration. Si vous essayez d’ajouter des conditions supplémentaires pour les icônes d’applications, celles-ci ne seront pas affichées aux utilisateurs finaux.

Dans l'exemple suivant, la politique des compartiments autorise uniquement l'accès aux ressources du parc WorkSpaces Applications Elastic du compte du propriétaire`ELASTIC_FLEET_EXAMPLE_BUCKET`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ConfusedDeputyPreventionExamplePolicy",
            "Effect": "Allow",
            "Principal": {
                "Service": "appstream.amazonaws.com"
            },
            "Action": "s3:GetObject",
            "Resource": [
                "arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/vhd-folder/*",
                "arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/scripts/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "your Compte AWS ID"
                }
            }
        },
        {
            "Sid": "AllowRetrievalPermissionsToS3AppIconsForAppStream",
            "Effect": "Allow",
            "Principal": {
                "Service": "appstream.amazonaws.com"
            },
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/app-icons/*"
        }
    ]
}
```

------

Vous pouvez également utiliser la condition `aws:SourceArn` pour limiter l’accès aux ressources pour des ressources spécifiques. 

**Note**  
Si vous ne connaissez pas l’ARN complet d’une ressource ou si vous voulez spécifier plusieurs ressources, utilisez la clé de contexte de condition globale `aws:SourceArn` avec des caractères génériques (\$1) pour les parties inconnues de l’ARN.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ConfusedDeputyPreventionExamplePolicy",
            "Effect": "Allow",
            "Principal": {
                "Service": "appstream.amazonaws.com"
            },
            "Action": "s3:GetObject",
            "Resource": [
                "arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/vhd-folder/*",
                "arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/scripts/*"
            ],
            "Condition": {
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:appstream:us-east-1:111122223333:app-block/*"
                }
            }
        },
        {
            "Sid": "AllowRetrievalPermissionsToS3AppIconsForAppStream",
            "Effect": "Allow",
            "Principal": {
                "Service": "appstream.amazonaws.com"
            },
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/app-icons/*"
        }
    ]
}
```

------

Vous pouvez utiliser les conditions `aws:SourceArn` et `aws:SourceAccount` pour limiter l’accès aux ressources pour des ressources et des comptes spécifiques. 

**Note**  
Si vous ne connaissez pas l’ARN complet d’une ressource ou si vous voulez spécifier plusieurs ressources, utilisez la clé de contexte de condition globale `aws:SourceArn` avec des caractères génériques (\$1) pour les parties inconnues de l’ARN.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ConfusedDeputyPreventionExamplePolicy",
            "Effect": "Allow",
            "Principal": {
                "Service": "appstream.amazonaws.com"
            },
            "Action": "s3:GetObject",
            "Resource": [
                "arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/vhd-folder/*",
                "arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/scripts/*"
            ],
            "Condition": {
                "ArnLike": {
                "aws:SourceArn": "arn:aws:appstream:us-east-1:111122223333:app-block/*"
                },
                "StringEquals": {
                    "aws:SourceAccount": "your AWS account ID"
                }
            }
        },
        {
            "Sid": "AllowRetrievalPermissionsToS3AppIconsForAppStream",
            "Effect": "Allow",
            "Principal": {
                "Service": "appstream.amazonaws.com"
            },
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/app-icons/*"
        }
    ]
}
```

------

# Bonnes pratiques en matière de sécurité dans WorkSpaces les applications Amazon
<a name="security-best-practices"></a>

 Chez Amazon Web Services (AWS), la sécurité dans le cloud est la priorité principale. La sécurité et la conformité sont une responsabilité partagée entre le client AWS et le client. Pour plus d'informations, reportez-vous au [https://aws.amazon.com/compliance/shared-responsibility-model/](https://aws.amazon.com/compliance/shared-responsibility-model/). En tant que client d' AWS and WorkSpaces Applications, il est important de mettre en œuvre des mesures de sécurité sur différentes couches telles que le stack, le parc, l'image et le réseau. 

 En raison de son caractère éphémère, WorkSpaces les applications sont souvent préférées en tant que solution sécurisée à la livraison d'applications et de postes de travail. Déterminez si les solutions antivirus courantes dans les déploiements Windows sont pertinentes dans vos cas d'utilisation pour un environnement prédéfini et purgé à la fin d'une session utilisateur. L'antivirus alourdit les instances virtualisées, ce qui en fait une bonne pratique pour limiter les activités inutiles. Par exemple, l'analyse du volume système (qui est éphémère) au démarrage n'améliore pas la sécurité globale des WorkSpaces applications. 

 Les deux questions clés relatives aux WorkSpaces applications de sécurité sont centrées sur : 
+  La persistance de l'état utilisateur au-delà de la session est-elle une exigence ? 
+  Quel niveau d'accès doit avoir un utilisateur au cours d'une session ? 

**Topics**
+ [Sécurisation des données persistantes](securing-persistent-data.md)
+ [Sécurité des terminaux et antivirus](endpoint-security-antivirus.md)
+ [Exclusions de réseau](network-exclusions.md)
+ [Sécurisation d'une session WorkSpaces d'applications](securing-session.md)
+ [Pare-feu et routage](firewalls-routing.md)
+ [Prévention des pertes de données](data-loss-prevention.md)
+ [Contrôle du trafic sortant](controlling-egress-traffic.md)
+ [Utilisation des AWS services](using-services.md)

# Sécurisation des données persistantes
<a name="securing-persistent-data"></a>

 Les déploiements d' WorkSpaces applications peuvent nécessiter la persistance de l'état utilisateur sous une forme ou une autre. Il peut s'agir de conserver des données pour des utilisateurs individuels ou de conserver des données à des fins de collaboration à l'aide d'un dossier partagé. AppStreamLe stockage d'instance 2.0 est éphémère et ne comporte aucune option de chiffrement. 

 WorkSpaces Les applications assurent la persistance de l'état utilisateur via les dossiers personnels et les paramètres des applications dans Amazon S3. Certains cas d'utilisation nécessitent un meilleur contrôle de la persistance de l'état utilisateur. Dans ces cas d'utilisation, il est AWS recommandé d'utiliser un partage de fichiers SMB (Server Message Block). 

## État et données de l'utilisateur
<a name="user-state-and-data"></a>

Étant donné que la plupart des applications Windows fonctionnent de manière optimale et sécurisée lorsqu'elles sont colocalisées avec des données d'application créées par l'utilisateur, il est recommandé de conserver ces données au même Région AWS titre que les flottes d' WorkSpaces applications. Le chiffrement de ces données est une bonne pratique. Le comportement par défaut du dossier personnel de l'utilisateur consiste à chiffrer les fichiers et les dossiers au repos à l'aide des clés de chiffrement gérées par Amazon S3 à partir des services de gestion des AWS clés ().AWS KMS Il est important de noter que les utilisateurs AWS administratifs ayant accès à la AWS console ou au compartiment Amazon S3 pourront accéder directement à ces fichiers.

Dans les conceptions qui nécessitent une cible SMB (Server Message Block) à partir d'un partage de fichiers Windows pour stocker les fichiers et dossiers utilisateur, le processus est automatique ou nécessite une configuration.

 *Tableau 5 — Options de sécurisation des données utilisateur* 


|   **Cible pour les PME**   |  **Encryption-at-rest**  |  **Encryption-in-transit**  |   **Antivirus (antivirus)**   | 
| --- | --- | --- | --- | 
|  FSx pour le serveur de fichiers Windows  |  [https://docs.aws.amazon.com/fsx/latest/WindowsGuide/encryption-at-rest.html](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/encryption-at-rest.html)  |  [https://docs.aws.amazon.com/fsx/latest/WindowsGuide/encryption-in-transit.html](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/encryption-in-transit.html)  |   L'AV installé sur une instance distante effectue un scan sur le lecteur mappé   | 
|   **Passerelle de fichiers, AWS Storage Gateway**   |  Par défaut, toutes les données stockées AWS Storage Gateway dans S3 sont chiffrées côté serveur avec des clés de chiffrement gérées par Amazon S3 (SSE-S3). Vous pouvez éventuellement configurer différents types de passerelles pour chiffrer les données stockées avec AWS Key Management Service (KMS)  |  Toutes les données transférées entre tout type d'appliance passerelle et le AWS stockage sont cryptées à l'aide du protocole SSL.  |   L'AV installé sur une instance distante effectue un scan sur le lecteur mappé   | 
|  Serveurs de fichiers Windows basés sur EC2  |  [Activer le chiffrement EBS](https://docs.aws.amazon.com/kms/latest/developerguide/services-ebs.html)  |  PowerShell; Set- SmbServerConfiguration – EncryptData \$1True  |   L'AV installé sur le serveur effectue un scan sur les disques locaux   | 

# Sécurité des terminaux et antivirus
<a name="endpoint-security-antivirus"></a>

La brève nature éphémère des instances d' WorkSpaces applications et le manque de persistance des données obligent à adopter une approche différente pour garantir que l'expérience utilisateur et les performances ne soient pas compromises par des activités qui seraient requises sur un poste de travail persistant. Les agents Endpoint Security sont installés dans WorkSpaces les images des applications lorsqu'il existe une politique organisationnelle ou lorsqu'ils sont utilisés avec des données externes, par exemple des e-mails, des entrées de fichiers, une navigation Web externe.

## Supprimer les identifiants uniques
<a name="removing-unique-iidentifiers"></a>

Les agents Endpoint Security peuvent disposer d'un identifiant global unique (GUID) qui doit être réinitialisé lors du processus de création des instances du parc. Les fournisseurs disposent d'instructions sur l'installation de leurs produits sous forme d'images, qui garantissent la génération d'un nouveau GUID pour chaque instance générée à partir d'une image.

Pour vous assurer que le GUID n'est pas généré, installez l'agent Endpoint Security comme dernière action avant d'exécuter l'assistant WorkSpaces Applications pour générer l'image.

## Optimisation des performances
<a name="performance-optimization"></a>

Les fournisseurs de solutions de sécurité des terminaux fournissent des commutateurs et des paramètres qui optimisent les performances des WorkSpaces applications. Les paramètres varient selon les fournisseurs et se trouvent dans leur documentation, généralement dans une section sur le VDI. Certains paramètres courants incluent, sans toutefois s'y limiter, les suivants :
+ Désactivez les scans de démarrage pour vous assurer que les temps de création, de démarrage et de connexion des instances sont minimisés
+ Désactiver les scans programmés pour éviter les scans inutiles
+ Désactiver les caches de signatures pour empêcher l'énumération des fichiers
+ Activer les paramètres d'E/S optimisés pour le VDI
+ Exclusions requises par les applications pour garantir les performances

Les fournisseurs de solutions de sécurité des terminaux fournissent des instructions d'utilisation avec des environnements de bureau virtuels qui optimisent les performances.
+ [Support de numérisation Trend Micro Office pour l'infrastructure de bureau virtuel - Apex One/ OfficeScan (trendmicro.com](https://success.trendmicro.com/solution/1055260-best-practice-for-setting-up-virtual-desktop-infrastructure-vdi-in-officescan))
+ CrowdStrike et [comment installer le CrowdStrike Falçon dans le centre de données](https://www.crowdstrike.com/blog/tech-center/install-falcon-datacenter/)
+ Sophos et [Sophos Central Endpoint : comment effectuer une installation sur une image dorée pour éviter les doublons d'identité](https://support.sophos.com/support/s/article/KB-000035040?language=en_US) et [Sophos Central : meilleures pratiques lors de l'installation de points de terminaison Windows](https://support.sophos.com/support/s/article/KB-000039009?language=en_US) dans des environnements de bureau virtuels
+ McAfee et le [provisionnement et le déploiement d'McAfee agents sur les systèmes d'infrastructure de bureau virtuel](https://kc.mcafee.com/corporate/index?page=content&id=KB87654)
+ Microsoft Endpoint Security et [configuration de l'antivirus Microsoft Defender pour les machines VDI non persistantes - Microsoft Tech Community](https://techcommunity.microsoft.com/t5/microsoft-defender-for-endpoint/configuring-microsoft-defender-antivirus-for-non-persistent-vdi/ba-p/1489633)

## Exclusions de numérisation
<a name="scanning-exclusions"></a>

 Si un logiciel de sécurité est installé dans WorkSpaces les instances d'applications, il ne doit pas interférer avec les processus suivants. 

 *Tableau 6 — Processus WorkSpaces des applications Les logiciels de sécurité ne doivent pas interférer avec les processus suivants.* 


|  **Service**  |  **Processus**  | 
| --- | --- | 
|  AmazonCloudWatchAgent  |  « C:\$1Program Files \$1 Amazon \$1 AmazonCloudWatchAgent \$1 start-amazon- cloudwatch-agent.exe »  | 
|  AmazonSSMAgent  |  « C:\$1Program Files \$1 Amazon \$1 SSM \$1 amazon-ssm-agent .exe »  | 
|  NICE DCV  |  « C:\$1Program Files \$1 NICE \$1 DCV \$1 Server \$1 bin \$1 dcvserver.exe » "C:\$1Program Files \$1 NICE \$1 DCV \$1 Server \$1 bin \$1 dcvagent.exe »  | 
|  WorkSpaces Applications  |   « C:\$1Program Files \$1 Amazon \$1 AppStream 2 \$1 StorageConnector \$1 StorageConnector .exe »   Dans le dossier « C:\$1Program Files \$1 Amazon \$1 Photon \$1 »   «. \$1 Agent \$1 PhotonAgent .exe »  «. \$1 Agent \$1 s5cmd.exe »  «. \$1 WebServer \$1 PhotonAgentWebServer .exe »  «. \$1 CustomShell \$1 PhotonWindowsAppSwitcher .exe »  «. \$1 CustomShell \$1 PhotonWindowsCustomShell .exe »  «. \$1 CustomShell \$1 PhotonWindowsCustomShellBackground .exe »   | 

## Dossiers
<a name="folders"></a>

 Si un logiciel de sécurité est installé dans WorkSpaces les instances d'applications, il ne doit pas interférer avec les dossiers suivants : 

**Example**  

```
    C:\Program Files\Amazon\* 
    C:\ProgramData\Amazon\* 
    C:\Program Files (x86)\AWS Tools\* 
    C:\Program Files (x86)\AWS SDK for .NET\* 
    C:\Program Files\NICE\* 
    C:\ProgramData\NICE\* 
    C:\AppStream\*
```

## Hygiène des consoles de sécurité des terminaux
<a name="endpoint-security-console-hygiene"></a>

WorkSpaces Les applications créent de nouvelles instances uniques chaque fois qu'un utilisateur se connecte au-delà des délais d'inactivité et de déconnexion. Les instances porteront un nom unique et seront intégrées dans les consoles de gestion de la sécurité des terminaux. Le fait de configurer la suppression des machines anciennes et inutilisées âgées de plus de 4 jours (ou moins selon les délais d'expiration des sessions des WorkSpaces applications) réduira le nombre d'instances expirées dans la console.

# Exclusions de réseau
<a name="network-exclusions"></a>

 La plage du réseau de gestion des WorkSpaces applications (`198.19.0.0/16`) et les ports et adresses suivants ne doivent être bloqués par aucune solution de sécurité/pare-feu ou antivirus au sein des instances d' WorkSpaces applications. 

 *Tableau 7 — Ports dans les instances de streaming WorkSpaces des applications, les logiciels de sécurité ne doivent pas interférer avec* 


|  **Port**  |   **Utilisation**   | 
| --- | --- | 
|  8300  |   Ceci est utilisé pour établir la connexion de streaming   | 
|  3128  |  Ceci est utilisé pour gérer l'instance de streaming par WorkSpaces Applications  | 
|  8000  |   Ceci est utilisé pour gérer l'instance de streaming par WorkSpaces Applications   | 
|  8443  |   Ceci est utilisé pour gérer l'instance de streaming par WorkSpaces Applications   | 
|  53  |   DNS   | 

 *Tableau 8 — Adresses des services gérés des WorkSpaces applications avec lesquelles les logiciels de sécurité ne doivent pas interférer* 


|  **Port**  |  **Utilisation**  | 
| --- | --- | 
|  169,254,169,123  |  NTP  | 
|  169,254,169,249  |  Service de licence NVIDIA GRID  | 
|  169,254,169,250  |  KMS  | 
|  169,254,169,251  |  KMS  | 
|  169,254,169,253  |  DNS  | 
|  169,254,169,254  |  Métadonnées  | 

# Sécurisation d'une session WorkSpaces d'applications
<a name="securing-session"></a>

## Limiter les contrôles des applications et du système d'exploitation
<a name="limiting-application-and-operating-system-controls"></a>

 WorkSpaces Les applications permettent à l'administrateur de spécifier exactement quelles applications peuvent être lancées à partir de la page Web en mode streaming d'applications. Cela ne garantit toutefois pas que seules les applications spécifiées peuvent être exécutées. 

 Les utilitaires et applications Windows peuvent être lancés via le système d'exploitation par des moyens supplémentaires. AWS recommande d'utiliser [https://aws.amazon.com/blogs/desktop-and-application-streaming/using-microsoft-applocker-to-manage-application-experience-on-amazon-appstream-2-0/](https://aws.amazon.com/blogs/desktop-and-application-streaming/using-microsoft-applocker-to-manage-application-experience-on-amazon-appstream-2-0/) pour s'assurer que seules les applications dont votre organisation a besoin peuvent être exécutées. Les règles par défaut doivent être modifiées, car elles accordent à tous l'accès aux chemins d'accès aux répertoires critiques du système. 

**Note**  
 Windows Server 2016 et 2019 nécessitent l'exécution du service Windows Application Identity pour appliquer AppLocker les règles. L'accès aux WorkSpaces applications depuis les applications utilisant Microsoft AppLocker est détaillé dans le [Guide de l'AppStream administrateur.](https://docs.aws.amazon.com/appstream2/latest/developerguide/data-protection.html#application-access) 

 Pour les instances de flotte associées à un domaine Active Directory, utilisez les objets de politique de groupe (GPOs) pour fournir des paramètres utilisateur et système afin de sécuriser l'accès aux applications et aux ressources des utilisateurs. 

# Pare-feu et routage
<a name="firewalls-routing"></a>

 Lors de la création d'un parc d' WorkSpaces applications, des sous-réseaux et un groupe de sécurité doivent être attribués. Les sous-réseaux sont déjà assignés à des listes de contrôle d'accès réseau (NACLs) et à des tables de routage. Vous pouvez associer [jusqu'à cinq groupes de sécurité](https://docs.aws.amazon.com/appstream2/latest/developerguide/managing-network-security-groups.html) lors du lancement d'un nouveau générateur d'images ou lors de la création d'une nouvelle flotte. Les groupes de sécurité peuvent avoir jusqu'à [cinq attributions à partir des groupes de sécurité existants](https://docs.aws.amazon.com/appstream2/latest/developerguide/managing-network-security-groups.html). Pour chaque groupe de sécurité, vous ajoutez des règles qui contrôlent le trafic réseau sortant et entrant depuis et vers vos instances

Une NACL est une couche de sécurité optionnelle pour votre VPC qui agit comme un pare-feu sans état pour contrôler le trafic entrant et sortant d'un ou de plusieurs sous-réseaux. Vous pouvez configurer un réseau ACLs avec des règles similaires à celles de vos groupes de sécurité afin d'ajouter une couche de sécurité supplémentaire à votre VPC. Pour plus d'informations sur les différences entre les groupes de sécurité et le réseau ACLs, consultez [la NACLs page de comparaison des groupes de sécurité et](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html#VPC_Security_Comparison) du réseau.

Lors de la conception et de l'application des règles du groupe de sécurité et de la NACL, tenez compte des meilleures pratiques d'AWS Well-Architected en matière de privilège minimal. Le principe du *moindre privilège* consiste à n'accorder que les autorisations nécessaires à l'exécution d'une tâche.

Pour les clients disposant d'un réseau privé haut débit connectant leur environnement sur site à AWS (via AWS Direct Connect), vous pouvez envisager d'utiliser les points de terminaison VPC pour AppStream, ce qui signifie que le trafic de streaming sera acheminé via la connectivité de votre réseau privé plutôt que via l'Internet public. Pour plus d'informations sur ce sujet, consultez la section Point de terminaison VPC de l'interface de streaming d' WorkSpaces applications de ce document.

# Prévention des pertes de données
<a name="data-loss-prevention"></a>

Nous examinerons deux types de prévention des pertes de données.

## Contrôles de transfert de données du client vers l'instance AppStream 2.0
<a name="client-to-AppStream-instance-data-transfer-controls"></a>

 *Tableau 9 — Conseils pour contrôler l'entrée et la sortie des données* 


|  **Réglage**  |  **Options**  |  **Conseils**  | 
| --- | --- | --- | 
|  Presse-papiers  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/appstream2/latest/developerguide/data-loss-prevention.html)  |  La désactivation de ce paramètre ne désactive pas le copier-coller dans la session. S'il est nécessaire de copier des données dans la session, choisissez Coller uniquement dans une session distante afin de minimiser le risque de fuite de données.  | 
|  Transfert de fichiers  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/appstream2/latest/developerguide/data-loss-prevention.html)  |  Évitez d'activer ce paramètre pour éviter les fuites de données.  | 
|  Imprimer sur un appareil local  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/appstream2/latest/developerguide/data-loss-prevention.html)  |  Si l'impression est requise, utilisez des imprimantes mappées en réseau contrôlées et surveillées par votre organisation.  | 

 Tenez compte des avantages de la solution de transfert de données organisationnelle existante par rapport aux paramètres de la pile. Ces configurations ne sont pas conçues pour remplacer une solution complète de transfert de données sécurisé. 

# Contrôle du trafic sortant
<a name="controlling-egress-traffic"></a>

Lorsque la perte de données est préoccupante, il est important de couvrir les accès auxquels un utilisateur peut accéder une fois qu'il est dans son instance d' WorkSpaces applications. À quoi ressemble le chemin de sortie (ou de sortie) du réseau ? Il est courant que l'utilisateur final dispose d'un accès Internet public au sein de son instance d' WorkSpaces applications. Il faut donc envisager de placer une WebProxy solution de filtrage de contenu sur le chemin réseau. Les autres considérations incluent une application antivirus locale et d'autres mesures de sécurité des terminaux au sein de l' AppStream instance (voir la section « Sécurité des terminaux et antivirus » pour plus d'informations).

# Utilisation des AWS services
<a name="using-services"></a>

## Gestion des identités et des accès AWS
<a name="aws-identity-and-access-management"></a>

 L'utilisation d'un rôle IAM pour accéder aux AWS services, et le fait d'être spécifique dans la politique IAM qui y est associée, est une bonne pratique qui garantit que seuls les utilisateurs des sessions WorkSpaces Applications y ont accès sans gérer d'informations d'identification supplémentaires. Suivez les [https://docs.aws.amazon.com/appstream2/latest/developerguide/using-iam-roles-to-grant-permissions-to-applications-scripts-streaming-instances.html#best-practices-for-using-iam-role-with-streaming-instances](https://docs.aws.amazon.com/appstream2/latest/developerguide/using-iam-roles-to-grant-permissions-to-applications-scripts-streaming-instances.html#best-practices-for-using-iam-role-with-streaming-instances) 

 Créez des [https://docs.aws.amazon.com/appstream2/latest/developerguide/s3-iam-policy.html](https://docs.aws.amazon.com/appstream2/latest/developerguide/s3-iam-policy.html) créés pour conserver les données utilisateur à la fois dans les dossiers personnels et dans les paramètres des applications. Cela [https://docs.aws.amazon.com/appstream2/latest/developerguide/s3-iam-policy.html#s3-iam-policy-restricted-access](https://docs.aws.amazon.com/appstream2/latest/developerguide/s3-iam-policy.html#s3-iam-policy-restricted-access). 

## Points de terminaison d’un VPC
<a name="vpc-endpoints-1"></a>

 Un point de terminaison VPC permet des connexions privées entre votre VPC et les services pris en charge et les services AWS de point de terminaison VPC alimentés par. AWS PrivateLink AWS PrivateLink est une technologie qui vous permet d'accéder à des services de manière privée en utilisant des adresses IP privées. Le trafic entre votre VPC et les autres services ne quitte pas le réseau Amazon. Si l'accès public à Internet n'est requis que pour les AWS services, les points de terminaison VPC suppriment complètement le besoin de passerelles NAT et de passerelles Internet. 

 Dans les environnements où les routines d'automatisation ou les développeurs nécessitent d'effectuer des appels d'API pour les WorkSpaces applications, [https://docs.aws.amazon.com/appstream2/latest/developerguide/access-api-cli-through-interface-vpc-endpoint.html](https://docs.aws.amazon.com/appstream2/latest/developerguide/access-api-cli-through-interface-vpc-endpoint.html). [https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateStreamingURL.html](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateStreamingURL.html) Le schéma suivant montre un exemple de configuration dans lequel l'API d' WorkSpaces applications et les points de terminaison VPC de streaming sont utilisés par des fonctions Lambda et des instances EC2. 

![\[Schéma d'architecture de référence pour le point de terminaison VPC\]](http://docs.aws.amazon.com/fr_fr/appstream2/latest/developerguide/images/vpc-endpoint.jpeg)


 *Point de terminaison d'un VPC* 

 Le point de terminaison VPC de streaming vous permet de diffuser des sessions via un point de terminaison VPC. Le point de terminaison de l'interface de streaming gère le trafic de streaming au sein de votre VPC. Le trafic de streaming inclut les pixels, l’USB, l’entrée utilisateur, l’audio, le presse-papiers, le chargement et le téléchargement de fichiers et le trafic d’imprimante. Pour utiliser le point de terminaison VPC, le paramètre du point de terminaison VPC doit être activé dans la pile Applications. WorkSpaces Cela constitue une alternative à la diffusion en continu de sessions utilisateur sur Internet public à partir de sites disposant d'un accès limité à Internet et qui bénéficieraient d'un accès via une instance Direct Connect. Le streaming de sessions utilisateur via un point de terminaison VPC nécessite les éléments suivants : 
+  Les groupes de sécurité associés au point de terminaison de l'interface doivent autoriser l'accès entrant aux ports (TCP) et aux ports `443` `1400–1499` (TCP) à partir de la plage d'adresses IP à partir de laquelle vos utilisateurs se connectent. 
+  La liste de contrôle d'accès réseau pour les sous-réseaux doit autoriser le trafic sortant des ports réseau éphémères `1024-65535` (TCP) vers la plage d'adresses IP à partir de laquelle vos utilisateurs se connectent. 
+  La connectivité Internet est nécessaire pour authentifier les utilisateurs et fournir les ressources Web dont WorkSpaces les applications ont besoin pour fonctionner. 

 Pour en savoir plus sur la restriction du trafic aux AWS services dotés d' WorkSpaces applications, consultez le guide d'administration pour la [https://docs.aws.amazon.com/appstream2/latest/developerguide/creating-streaming-from-interface-vpc-endpoints.html](https://docs.aws.amazon.com/appstream2/latest/developerguide/creating-streaming-from-interface-vpc-endpoints.html). 

 Lorsqu'un accès public complet à Internet est requis, il est recommandé de désactiver la configuration de sécurité renforcée (ESC) d'Internet Explorer sur Image Builder. Pour plus d'informations, consultez le guide WorkSpaces d'administration des applications pour [https://docs.aws.amazon.com/appstream2/latest/developerguide/customize-fleets.html#customize-fleets-disable-ie-esc](https://docs.aws.amazon.com/appstream2/latest/developerguide/customize-fleets.html#customize-fleets-disable-ie-esc). 

## Configuration du service de métadonnées d'instance (IMDS) sur vos instances
<a name="configuring-imds"></a>

Cette rubrique décrit le service de métadonnées d'instance (IMDS).

Les *métadonnées d'instance* sont des données relatives à une instance Amazon Elastic Compute Cloud (Amazon EC2) que les applications peuvent utiliser pour configurer ou gérer l'instance en cours d'exécution. Le service de métadonnées d'instance (IMDS) est un composant sur instance utilisé par le code sur l'instance pour accéder en toute sécurité aux métadonnées d'instance. Pour plus d'informations, consultez [Métadonnées d'instance et données utilisateur](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-metadata.html) dans le *Guide de l'utilisateur Amazon EC2*.

Le code peut accéder aux métadonnées d'une instance en cours d'exécution à l'aide de l'une des deux méthodes suivantes : service de métadonnées d'instance version 1 (IMDSv1) ou service de métadonnées d'instance version 2 (IMDSv2). IMDSv2 utilise des requêtes orientées session et atténue plusieurs types de vulnérabilités susceptibles d'être utilisées pour tenter d'accéder à l'IMDS. Pour plus d'informations sur ces deux méthodes, consultez [la section Configuration du service de métadonnées d'instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-service.html) dans le guide de l'*utilisateur Amazon EC2*.

### Support en matière de ressources pour l'IMDS
<a name="imds-resource-support"></a>

Les flottes permanentes, à la demande, à session unique et multisession, ainsi que tous les générateurs d'images, prennent IMDSv2 en charge les IMDSv1 images d' WorkSpaces applications avec la version de l'agent ou la mise à jour d'image gérée publiée le 16 janvier 2024 ou après cette date.

Les instances Elastic Fleets et AppBlock Builders prennent également en charge les deux IMDSv1 et IMDSv2.

### Exemple de paramètres d'attributs IMDS
<a name="imds-examples"></a>

Vous trouverez ci-dessous deux exemples de choix de la méthode IMDS :

#### Exemple de SDK Java v2
<a name="java-sdk-example"></a>

Ci-dessous, exemple de demande, désactivation IMDSv1 à l'aide d'`disableIMDSV1`attributs

```
CreateFleetRequest request = CreateFleetRequest.builder()
 .name("TestFleet")
 .imageArn("arn:aws:appstream:us-east-1::image/TestImage")
 .instanceType("stream.standard.large")
 .fleetType(FleetType.ALWAYS_ON)
 .computeCapacity(ComputeCapacity.builder()
 .desiredInstances(5)
 .build())
 .description("Test fleet description")
 .displayName("Test Fleet Display Name")
 .enableDefaultInternetAccess(true)
 .maxUserDurationInSeconds(3600)
 .disconnectTimeoutInSeconds(900)
 .idleDisconnectTimeoutInSeconds(600)
 .iamRoleArn("arn:aws:iam::123456789012:role/TestRole")
 .streamView(StreamView.APP)
 .platform(PlatformType.WINDOWS)
 .maxConcurrentSessions(10)
 .maxSessionsPerInstance(2)
 .tags(tags)
 .disableIMDSV1(true)
 .build();
```

Définissez **disable IMDSV1** sur true pour désactiver IMDSv1 et appliquer IMDSv2.

Définissez **disable IMDSV1** sur false pour activer à la fois IMDSv1 et IMDSv2.

#### Exemple de CLI
<a name="cli-example"></a>

Ci-dessous, exemple de demande, désactivation IMDSv1 à l'aide d'`--disable-imdsv1`attributs

```
aws appstream create-fleet --name test-fleet --image-arn "arn:aws:appstream:us-east-1::image/test-image" --disable-imdsv1 --instance-type stream.standard.small --compute-capacity DesiredInstances=2 --max-user-duration-in-seconds 57600 --disconnect-timeout-in-seconds 57600 --region us-east-1
```

`--disable-imdsv1`Réglez sur true pour désactiver IMDSv1 et appliquer IMDSv2.

Définissez cette valeur `--no-disable-imdsv1` sur false pour activer à la fois IMDSv1 et IMDSv2.