Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Perlindungan Data di Amazon AppStream 2.0
Model tanggung jawab AWS bersama model
Untuk tujuan perlindungan data, kami menyarankan Anda melindungi Akun AWS kredensil dan mengatur pengguna individu dengan AWS Identity and Access Management (IAM). Dengan cara ini, setiap pengguna hanya diberi izin yang diperlukan untuk memenuhi tanggung jawab tugas mereka. Kami juga merekomendasikan agar Anda mengamankan data Anda dengan cara-cara berikut ini:
-
Gunakan autentikasi multi-faktor (MFA) pada setiap akun.
-
Gunakan SSL/TLS untuk berkomunikasi dengan sumber daya. AWS Kami merekomendasikan TLS 1.2.
-
Siapkan API dan pencatatan aktivitas pengguna dengan AWS CloudTrail.
-
Gunakan solusi AWS enkripsi, bersama dengan semua kontrol keamanan default dalam AWS layanan.
-
Gunakan layanan keamanan terkelola lanjutan seperti Amazon Macie, yang membantu menemukan dan mengamankan data pribadi yang disimpan di Amazon S3.
-
Jika Anda memerlukan modul kriptografi tervalidasi FIPS 140-2 saat mengakses AWS melalui antarmuka baris perintah atau API, gunakan titik akhir FIPS. Untuk informasi lebih lanjut tentang titik akhir FIPS yang tersedia, lihat Standar Pemrosesan Informasi Federal (FIPS) 140-2
.
Kami sangat merekomendasikan agar Anda tidak pernah memasukkan informasi identifikasi yang sensitif, seperti nomor rekening pelanggan Anda, ke dalam tanda atau bidang isian bebas seperti bidang Nama. Ini termasuk saat Anda bekerja dengan AppStream 2.0 atau AWS layanan lain menggunakan konsol, API AWS CLI, atau AWS SDK. Data apa pun yang Anda masukkan ke dalam tanda atau bidang isian bebas yang digunakan untuk nama dapat digunakan untuk log penagihan atau log diagnostik. Saat Anda memberikan URL ke server eksternal, kami sangat menyarankan jangan menyertakan informasi kredensial di URL untuk memvalidasi permintaan Anda ke server tersebut.
Enkripsi saat Istirahat
AppStream 2.0 contoh armada bersifat fana. Setelah sesi streaming pengguna selesai, instance yang mendasari dan volume Amazon Elastic Block Store (Amazon EBS) terkait dihentikan. Selain itu, AppStream 2.0 secara berkala mendaur ulang instans yang tidak terpakai untuk kesegaran.
Saat Anda mengaktifkan persistensi pengaturan aplikasi, folder beranda, skrip sesi, atau laporan penggunaan pengguna Anda, data yang dihasilkan oleh pengguna Anda dan disimpan di bucket Amazon Simple Storage Service dienkripsi saat istirahat. AWS Key Management Service adalah layanan yang menggabungkan perangkat keras dan perangkat lunak yang aman dan sangat tersedia untuk menyediakan sistem manajemen kunci yang diskalakan untuk cloud. Amazon S3 menggunakan CMK AWS Terkelola untuk mengenkripsi data objek Amazon S3 Anda.
Enkripsi Saat Data Berpindah
Tabel berikut memberikan informasi tentang bagaimana data dienkripsi dalam perjalanan. Jika berlaku, metode perlindungan data lainnya untuk AppStream 2.0 juga dicantumkan.
Data | Jalur jaringan | Seberapa terlindungi |
---|---|---|
Aset web Lalu lintas ini mencakup aset seperti gambar dan JavaScript file. |
Antara AppStream 2.0 pengguna dan AppStream 2.0 |
Dienkripsi menggunakan TLS 1.2 |
Pixel dan lalu lintas streaming terkait | Antara AppStream 2.0 pengguna dan AppStream 2.0 |
Dienkripsi menggunakan Standar Enkripsi Lanjutan 256-bit (AES-256) Diangkut menggunakan TLS 1.2 |
Lalu lintas API | Antara AppStream 2.0 pengguna dan AppStream 2.0 |
Dienkripsi menggunakan TLS 1.2 Permintaan untuk membuat koneksi ditandatangani menggunakan SiGv4 |
Pengaturan aplikasi dan data folder rumah yang dihasilkan oleh pengguna Berlaku saat ketekunan pengaturan aplikasi dan folder rumah diaktifkan. |
Antara AppStream 2.0 pengguna dan Amazon S3 | Dienkripsi menggunakan titik akhir SSL Amazon S3 |
AppStream 2.0-lalu lintas terkelola |
Antara AppStream 2.0 instans streaming dan:
|
Dienkripsi menggunakan TLS 1.2 Permintaan untuk membuat koneksi ditandatangani menggunakan SiGv4 jika berlaku |
Kontrol Administrator
AppStream 2.0 menyediakan kontrol administratif yang dapat Anda gunakan untuk membatasi cara di mana pengguna dapat mentransfer data antara komputer lokal mereka dan instance armada AppStream 2.0. Anda dapat membatasi atau menonaktifkan hal berikut saat membuat atau memperbarui tumpukan AppStream 2.0:
Tindakan clipboard/copy dan paste
Unggah dan unduh file, termasuk pengalihan folder dan drive
Pencetakan
Saat Anda membuat gambar AppStream 2.0, Anda dapat menentukan perangkat USB mana yang tersedia untuk mengarahkan ke instance armada AppStream 2.0 dari klien AppStream 2.0 untuk Windows. Perangkat USB yang Anda tentukan akan tersedia untuk digunakan selama sesi streaming AppStream 2.0 pengguna. Untuk informasi selengkapnya, lihat Memenuhi Syarat Perangkat USB untuk Digunakan dengan Aplikasi Streaming.
Akses Aplikasi
Secara default, AppStream 2.0 memungkinkan aplikasi yang Anda tentukan dalam gambar Anda untuk meluncurkan aplikasi lain dan file yang dapat dieksekusi pada pembuat gambar dan instance armada. Ini memastikan bahwa aplikasi dengan dependensi pada aplikasi lain (misalnya, aplikasi yang meluncurkan browser untuk menavigasi ke situs web produk) berfungsi seperti yang diharapkan. Pastikan Anda mengonfigurasi kontrol administratif, grup keamanan, dan perangkat lunak keamanan lainnya untuk memberi pengguna izin minimum yang diperlukan untuk mengakses sumber daya dan mentransfer data antara komputer lokal dan instance armada mereka.
Anda dapat menggunakan perangkat lunak kontrol aplikasi, seperti Microsoft AppLocker
catatan
Perangkat lunak agen AppStream 2.0 bergantung pada prompt perintah Windows dan Windows Powershell untuk menyediakan instance streaming. Jika Anda memilih untuk mencegah pengguna meluncurkan prompt perintah Windows atau Windows Powershell, kebijakan tidak boleh berlaku untuk Windows NT AUTHORITY\ SYSTEM atau pengguna di grup Administrator.
Jenis aturan | Tindakan | Pengguna atau grup Windows | Nama/Jalan | Ketentuan | Deskripsi |
---|---|---|---|---|---|
Dapat dieksekusi | Izinkan | OTORITAS NT\ Sistem | * | Jalur | Diperlukan untuk perangkat lunak agen AppStream 2.0 |
Dapat dieksekusi | Izinkan | BUILTIN\ Administrator | * | Jalur | Diperlukan untuk perangkat lunak agen AppStream 2.0 |
Dapat dieksekusi | Izinkan | Semua orang | %PROGRAMFILES%\nodejs\ * | Jalur | Diperlukan untuk perangkat lunak agen AppStream 2.0 |
Dapat dieksekusi | Izinkan | Semua orang | %PROGRAMFILES%\NES\ * | Jalur | Diperlukan untuk perangkat lunak agen AppStream 2.0 |
Dapat dieksekusi | Izinkan | Semua orang | %PROGRAMFILES%\ Amazon\ * | Jalur | Diperlukan untuk perangkat lunak agen AppStream 2.0 |
Dapat dieksekusi | Izinkan | Semua orang | %PROGRAMFILES%\ < default-browser >\ * |
Jalur | Diperlukan untuk perangkat lunak agen AppStream 2.0 saat solusi penyimpanan persisten, seperti Google Drive atau Microsoft OneDrive for Business, digunakan. Pengecualian ini tidak diperlukan saat folder home AppStream 2.0 digunakan. |