Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Utilisation des AWS services
<a name="using-services"></a>

## Gestion des identités et des accès AWS
<a name="aws-identity-and-access-management"></a>

 L'utilisation d'un rôle IAM pour accéder aux AWS services, et le fait d'être spécifique dans la politique IAM qui y est associée, est une bonne pratique qui garantit que seuls les utilisateurs des sessions WorkSpaces Applications y ont accès sans gérer d'informations d'identification supplémentaires. Suivez les [https://docs.aws.amazon.com/appstream2/latest/developerguide/using-iam-roles-to-grant-permissions-to-applications-scripts-streaming-instances.html#best-practices-for-using-iam-role-with-streaming-instances](https://docs.aws.amazon.com/appstream2/latest/developerguide/using-iam-roles-to-grant-permissions-to-applications-scripts-streaming-instances.html#best-practices-for-using-iam-role-with-streaming-instances) 

 Créez des [https://docs.aws.amazon.com/appstream2/latest/developerguide/s3-iam-policy.html](https://docs.aws.amazon.com/appstream2/latest/developerguide/s3-iam-policy.html) créés pour conserver les données utilisateur à la fois dans les dossiers personnels et dans les paramètres des applications. Cela [https://docs.aws.amazon.com/appstream2/latest/developerguide/s3-iam-policy.html#s3-iam-policy-restricted-access](https://docs.aws.amazon.com/appstream2/latest/developerguide/s3-iam-policy.html#s3-iam-policy-restricted-access). 

## Points de terminaison d’un VPC
<a name="vpc-endpoints-1"></a>

 Un point de terminaison VPC permet des connexions privées entre votre VPC et les services pris en charge et les services AWS de point de terminaison VPC alimentés par. AWS PrivateLink AWS PrivateLink est une technologie qui vous permet d'accéder à des services de manière privée en utilisant des adresses IP privées. Le trafic entre votre VPC et les autres services ne quitte pas le réseau Amazon. Si l'accès public à Internet n'est requis que pour les AWS services, les points de terminaison VPC suppriment complètement le besoin de passerelles NAT et de passerelles Internet. 

 Dans les environnements où les routines d'automatisation ou les développeurs nécessitent d'effectuer des appels d'API pour les WorkSpaces applications, [https://docs.aws.amazon.com/appstream2/latest/developerguide/access-api-cli-through-interface-vpc-endpoint.html](https://docs.aws.amazon.com/appstream2/latest/developerguide/access-api-cli-through-interface-vpc-endpoint.html). [https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateStreamingURL.html](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateStreamingURL.html) Le schéma suivant montre un exemple de configuration dans lequel l'API d' WorkSpaces applications et les points de terminaison VPC de streaming sont utilisés par des fonctions Lambda et des instances EC2. 

![\[Schéma d'architecture de référence pour le point de terminaison VPC\]](http://docs.aws.amazon.com/fr_fr/appstream2/latest/developerguide/images/vpc-endpoint.jpeg)


 *Point de terminaison d'un VPC* 

 Le point de terminaison VPC de streaming vous permet de diffuser des sessions via un point de terminaison VPC. Le point de terminaison de l'interface de streaming gère le trafic de streaming au sein de votre VPC. Le trafic de streaming inclut les pixels, l’USB, l’entrée utilisateur, l’audio, le presse-papiers, le chargement et le téléchargement de fichiers et le trafic d’imprimante. Pour utiliser le point de terminaison VPC, le paramètre du point de terminaison VPC doit être activé dans la pile Applications. WorkSpaces Cela constitue une alternative à la diffusion en continu de sessions utilisateur sur Internet public à partir de sites disposant d'un accès limité à Internet et qui bénéficieraient d'un accès via une instance Direct Connect. Le streaming de sessions utilisateur via un point de terminaison VPC nécessite les éléments suivants : 
+  Les groupes de sécurité associés au point de terminaison de l'interface doivent autoriser l'accès entrant aux ports (TCP) et aux ports `443` `1400–1499` (TCP) à partir de la plage d'adresses IP à partir de laquelle vos utilisateurs se connectent. 
+  La liste de contrôle d'accès réseau pour les sous-réseaux doit autoriser le trafic sortant des ports réseau éphémères `1024-65535` (TCP) vers la plage d'adresses IP à partir de laquelle vos utilisateurs se connectent. 
+  La connectivité Internet est nécessaire pour authentifier les utilisateurs et fournir les ressources Web dont WorkSpaces les applications ont besoin pour fonctionner. 

 Pour en savoir plus sur la restriction du trafic aux AWS services dotés d' WorkSpaces applications, consultez le guide d'administration pour la [https://docs.aws.amazon.com/appstream2/latest/developerguide/creating-streaming-from-interface-vpc-endpoints.html](https://docs.aws.amazon.com/appstream2/latest/developerguide/creating-streaming-from-interface-vpc-endpoints.html). 

 Lorsqu'un accès public complet à Internet est requis, il est recommandé de désactiver la configuration de sécurité renforcée (ESC) d'Internet Explorer sur Image Builder. Pour plus d'informations, consultez le guide WorkSpaces d'administration des applications pour [https://docs.aws.amazon.com/appstream2/latest/developerguide/customize-fleets.html#customize-fleets-disable-ie-esc](https://docs.aws.amazon.com/appstream2/latest/developerguide/customize-fleets.html#customize-fleets-disable-ie-esc). 

## Configuration du service de métadonnées d'instance (IMDS) sur vos instances
<a name="configuring-imds"></a>

Cette rubrique décrit le service de métadonnées d'instance (IMDS).

Les *métadonnées d'instance* sont des données relatives à une instance Amazon Elastic Compute Cloud (Amazon EC2) que les applications peuvent utiliser pour configurer ou gérer l'instance en cours d'exécution. Le service de métadonnées d'instance (IMDS) est un composant sur instance utilisé par le code sur l'instance pour accéder en toute sécurité aux métadonnées d'instance. Pour plus d'informations, consultez [Métadonnées d'instance et données utilisateur](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-metadata.html) dans le *Guide de l'utilisateur Amazon EC2*.

Le code peut accéder aux métadonnées d'une instance en cours d'exécution à l'aide de l'une des deux méthodes suivantes : service de métadonnées d'instance version 1 (IMDSv1) ou service de métadonnées d'instance version 2 (IMDSv2). IMDSv2 utilise des requêtes orientées session et atténue plusieurs types de vulnérabilités susceptibles d'être utilisées pour tenter d'accéder à l'IMDS. Pour plus d'informations sur ces deux méthodes, consultez [la section Configuration du service de métadonnées d'instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-service.html) dans le guide de l'*utilisateur Amazon EC2*.

### Support en matière de ressources pour l'IMDS
<a name="imds-resource-support"></a>

Les flottes permanentes, à la demande, à session unique et multisession, ainsi que tous les générateurs d'images, prennent IMDSv2 en charge les IMDSv1 images d' WorkSpaces applications avec la version de l'agent ou la mise à jour d'image gérée publiée le 16 janvier 2024 ou après cette date.

Les instances Elastic Fleets et AppBlock Builders prennent également en charge les deux IMDSv1 et IMDSv2.

### Exemple de paramètres d'attributs IMDS
<a name="imds-examples"></a>

Vous trouverez ci-dessous deux exemples de choix de la méthode IMDS :

#### Exemple de SDK Java v2
<a name="java-sdk-example"></a>

Ci-dessous, exemple de demande, désactivation IMDSv1 à l'aide d'`disableIMDSV1`attributs

```
CreateFleetRequest request = CreateFleetRequest.builder()
 .name("TestFleet")
 .imageArn("arn:aws:appstream:us-east-1::image/TestImage")
 .instanceType("stream.standard.large")
 .fleetType(FleetType.ALWAYS_ON)
 .computeCapacity(ComputeCapacity.builder()
 .desiredInstances(5)
 .build())
 .description("Test fleet description")
 .displayName("Test Fleet Display Name")
 .enableDefaultInternetAccess(true)
 .maxUserDurationInSeconds(3600)
 .disconnectTimeoutInSeconds(900)
 .idleDisconnectTimeoutInSeconds(600)
 .iamRoleArn("arn:aws:iam::123456789012:role/TestRole")
 .streamView(StreamView.APP)
 .platform(PlatformType.WINDOWS)
 .maxConcurrentSessions(10)
 .maxSessionsPerInstance(2)
 .tags(tags)
 .disableIMDSV1(true)
 .build();
```

Définissez **disable IMDSV1** sur true pour désactiver IMDSv1 et appliquer IMDSv2.

Définissez **disable IMDSV1** sur false pour activer à la fois IMDSv1 et IMDSv2.

#### Exemple de CLI
<a name="cli-example"></a>

Ci-dessous, exemple de demande, désactivation IMDSv1 à l'aide d'`--disable-imdsv1`attributs

```
aws appstream create-fleet --name test-fleet --image-arn "arn:aws:appstream:us-east-1::image/test-image" --disable-imdsv1 --instance-type stream.standard.small --compute-capacity DesiredInstances=2 --max-user-duration-in-seconds 57600 --disconnect-timeout-in-seconds 57600 --region us-east-1
```

`--disable-imdsv1`Réglez sur true pour désactiver IMDSv1 et appliquer IMDSv2.

Définissez cette valeur `--no-disable-imdsv1` sur false pour activer à la fois IMDSv1 et IMDSv2.