Perlindungan Data di Amazon AppStream 2.0 - Amazon AppStream 2.0
Enkripsi saat IstirahatEnkripsi Saat Data BerpindahKontrol AdministratorAkses Aplikasi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Perlindungan Data di Amazon AppStream 2.0

Model tanggung jawab AWS bersama model berlaku untuk perlindungan data di Amazon AppStream 2.0. Seperti yang dijelaskan dalam model AWS ini, bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua AWS Cloud. Anda harus bertanggung jawab untuk memelihara kendali terhadap konten yang di-hosting pada infrastruktur ini. Konten ini meliputi konfigurasi keamanan dan tugas-tugas pengelolaan untuk berbagai layanan Layanan AWS yang Anda gunakan. Lihat informasi yang lebih lengkap tentang privasi data dalam Pertanyaan Umum Privasi Data. Lihat informasi tentang perlindungan data di Eropa di pos blog Model Tanggung Jawab Bersama dan GDPR AWS di Blog Keamanan AWS .

Untuk tujuan perlindungan data, kami menyarankan Anda melindungi Akun AWS kredensil dan mengatur pengguna individu dengan AWS Identity and Access Management (IAM). Dengan cara ini, setiap pengguna hanya diberi izin yang diperlukan untuk memenuhi tanggung jawab tugas mereka. Kami juga merekomendasikan agar Anda mengamankan data Anda dengan cara-cara berikut ini:

  • Gunakan autentikasi multi-faktor (MFA) pada setiap akun.

  • Gunakan SSL/TLS untuk berkomunikasi dengan sumber daya. AWS Kami merekomendasikan TLS 1.2.

  • Siapkan API dan pencatatan aktivitas pengguna dengan AWS CloudTrail.

  • Gunakan solusi AWS enkripsi, bersama dengan semua kontrol keamanan default dalam AWS layanan.

  • Gunakan layanan keamanan terkelola lanjutan seperti Amazon Macie, yang membantu menemukan dan mengamankan data pribadi yang disimpan di Amazon S3.

  • Jika Anda memerlukan modul kriptografi tervalidasi FIPS 140-2 saat mengakses AWS melalui antarmuka baris perintah atau API, gunakan titik akhir FIPS. Untuk informasi lebih lanjut tentang titik akhir FIPS yang tersedia, lihat Standar Pemrosesan Informasi Federal (FIPS) 140-2.

Kami sangat merekomendasikan agar Anda tidak pernah memasukkan informasi identifikasi yang sensitif, seperti nomor rekening pelanggan Anda, ke dalam tanda atau bidang isian bebas seperti bidang Nama. Ini termasuk saat Anda bekerja dengan AppStream 2.0 atau AWS layanan lain menggunakan konsol, API AWS CLI, atau AWS SDK. Data apa pun yang Anda masukkan ke dalam tanda atau bidang isian bebas yang digunakan untuk nama dapat digunakan untuk log penagihan atau log diagnostik. Saat Anda memberikan URL ke server eksternal, kami sangat menyarankan jangan menyertakan informasi kredensial di URL untuk memvalidasi permintaan Anda ke server tersebut.

Enkripsi saat Istirahat

AppStream 2.0 contoh armada bersifat fana. Setelah sesi streaming pengguna selesai, instance yang mendasari dan volume Amazon Elastic Block Store (Amazon EBS) terkait dihentikan. Selain itu, AppStream 2.0 secara berkala mendaur ulang instans yang tidak terpakai untuk kesegaran.

Saat Anda mengaktifkan persistensi pengaturan aplikasi, folder beranda, skrip sesi, atau laporan penggunaan pengguna Anda, data yang dihasilkan oleh pengguna Anda dan disimpan di bucket Amazon Simple Storage Service dienkripsi saat istirahat. AWS Key Management Service adalah layanan yang menggabungkan perangkat keras dan perangkat lunak yang aman dan sangat tersedia untuk menyediakan sistem manajemen kunci yang diskalakan untuk cloud. Amazon S3 menggunakan CMK AWS Terkelola untuk mengenkripsi data objek Amazon S3 Anda.

Enkripsi Saat Data Berpindah

Tabel berikut memberikan informasi tentang bagaimana data dienkripsi dalam perjalanan. Jika berlaku, metode perlindungan data lainnya untuk AppStream 2.0 juga dicantumkan.

Data Jalur jaringan Seberapa terlindungi

Aset web

Lalu lintas ini mencakup aset seperti gambar dan JavaScript file.

Antara AppStream 2.0 pengguna dan AppStream 2.0

 Dienkripsi menggunakan TLS 1.2
Pixel dan lalu lintas streaming terkait Antara AppStream 2.0 pengguna dan AppStream 2.0

Dienkripsi menggunakan Standar Enkripsi Lanjutan 256-bit (AES-256)

Diangkut menggunakan TLS 1.2
Lalu lintas API Antara AppStream 2.0 pengguna dan AppStream 2.0

Dienkripsi menggunakan TLS 1.2

Permintaan untuk membuat koneksi ditandatangani menggunakan SiGv4

Pengaturan aplikasi dan data folder rumah yang dihasilkan oleh pengguna

Berlaku saat ketekunan pengaturan aplikasi dan folder rumah diaktifkan.

 Antara AppStream 2.0 pengguna dan Amazon S3 Dienkripsi menggunakan titik akhir SSL Amazon S3
AppStream 2.0-lalu lintas terkelola

Antara AppStream 2.0 instans streaming dan:

  • AppStream 2.0 layanan manajemen

  • AWS layanan dan sumber daya di akun Amazon Web Services Anda

  • AWS Non-layanan dan sumber daya (seperti Google Drive dan Microsoft OneDrive)

Dienkripsi menggunakan TLS 1.2

Permintaan untuk membuat koneksi ditandatangani menggunakan SiGv4 jika berlaku

Kontrol Administrator

AppStream 2.0 menyediakan kontrol administratif yang dapat Anda gunakan untuk membatasi cara di mana pengguna dapat mentransfer data antara komputer lokal mereka dan instance armada AppStream 2.0. Anda dapat membatasi atau menonaktifkan hal berikut saat membuat atau memperbarui tumpukan AppStream 2.0:

  • Tindakan clipboard/copy dan paste

  • Unggah dan unduh file, termasuk pengalihan folder dan drive

  • Pencetakan

Saat Anda membuat gambar AppStream 2.0, Anda dapat menentukan perangkat USB mana yang tersedia untuk mengarahkan ke instance armada AppStream 2.0 dari klien AppStream 2.0 untuk Windows. Perangkat USB yang Anda tentukan akan tersedia untuk digunakan selama sesi streaming AppStream 2.0 pengguna. Untuk informasi selengkapnya, lihat Memenuhi Syarat Perangkat USB untuk Digunakan dengan Aplikasi Streaming.

Akses Aplikasi

Secara default, AppStream 2.0 memungkinkan aplikasi yang Anda tentukan dalam gambar Anda untuk meluncurkan aplikasi lain dan file yang dapat dieksekusi pada pembuat gambar dan instance armada. Ini memastikan bahwa aplikasi dengan dependensi pada aplikasi lain (misalnya, aplikasi yang meluncurkan browser untuk menavigasi ke situs web produk) berfungsi seperti yang diharapkan. Pastikan Anda mengonfigurasi kontrol administratif, grup keamanan, dan perangkat lunak keamanan lainnya untuk memberi pengguna izin minimum yang diperlukan untuk mengakses sumber daya dan mentransfer data antara komputer lokal dan instance armada mereka.

Anda dapat menggunakan perangkat lunak kontrol aplikasi, seperti Microsoft AppLocker, dan kebijakan untuk mengontrol aplikasi dan file mana yang dapat dijalankan pengguna Anda. Perangkat lunak dan kebijakan kontrol aplikasi membantu Anda mengontrol file yang dapat dieksekusi, skrip, file penginstal Windows, pustaka tautan dinamis, dan paket aplikasi yang dapat dijalankan pengguna Anda pada pembuat gambar 2.0 dan instance armada. AppStream

catatan

Perangkat lunak agen AppStream 2.0 bergantung pada prompt perintah Windows dan Windows Powershell untuk menyediakan instance streaming. Jika Anda memilih untuk mencegah pengguna meluncurkan prompt perintah Windows atau Windows Powershell, kebijakan tidak boleh berlaku untuk Windows NT AUTHORITY\ SYSTEM atau pengguna di grup Administrator.

Jenis aturan Tindakan Pengguna atau grup Windows Nama/Jalan Ketentuan Deskripsi
Dapat dieksekusi Izinkan OTORITAS NT\ Sistem * Jalur Diperlukan untuk perangkat lunak agen AppStream 2.0
Dapat dieksekusi Izinkan BUILTIN\ Administrator * Jalur Diperlukan untuk perangkat lunak agen AppStream 2.0
Dapat dieksekusi Izinkan Semua orang %PROGRAMFILES%\nodejs\ * Jalur Diperlukan untuk perangkat lunak agen AppStream 2.0
Dapat dieksekusi Izinkan Semua orang %PROGRAMFILES%\NES\ * Jalur Diperlukan untuk perangkat lunak agen AppStream 2.0
Dapat dieksekusi Izinkan Semua orang %PROGRAMFILES%\ Amazon\ * Jalur Diperlukan untuk perangkat lunak agen AppStream 2.0
Dapat dieksekusi Izinkan Semua orang %PROGRAMFILES%\ < default-browser >\ * Jalur Diperlukan untuk perangkat lunak agen AppStream 2.0 saat solusi penyimpanan persisten, seperti Google Drive atau Microsoft OneDrive for Business, digunakan. Pengecualian ini tidak diperlukan saat folder home AppStream 2.0 digunakan.