Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Perlindungan Data di WorkSpaces Aplikasi Amazon
<a name="data-protection"></a>

[Model tanggung jawab AWS bersama model](https://aws.amazon.com/compliance/shared-responsibility-model/) berlaku untuk perlindungan data di WorkSpaces Aplikasi Amazon. Seperti yang dijelaskan dalam model AWS ini, bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua AWS Cloud. Anda harus bertanggung jawab untuk memelihara kendali terhadap konten yang di-hosting pada infrastruktur ini. Konten ini meliputi konfigurasi keamanan dan tugas-tugas pengelolaan untuk berbagai layanan Layanan AWS yang Anda gunakan. Lihat informasi yang lebih lengkap tentang privasi data dalam [Pertanyaan Umum Privasi Data](https://aws.amazon.com/compliance/data-privacy-faq). Lihat informasi tentang perlindungan data di Eropa di pos blog [Model Tanggung Jawab Bersama dan GDPR AWS](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) di *Blog Keamanan AWS *.

Untuk tujuan perlindungan data, kami menyarankan Anda melindungi Akun AWS kredensil dan mengatur pengguna individu dengan AWS Identity and Access Management (IAM). Dengan cara ini, setiap pengguna hanya diberi izin yang diperlukan untuk memenuhi tanggung jawab tugas mereka. Kami juga merekomendasikan agar Anda mengamankan data Anda dengan cara-cara berikut ini:
+ Gunakan autentikasi multi-faktor (MFA) pada setiap akun.
+ Gunakan SSL/TLS untuk berkomunikasi dengan AWS sumber daya. Kami merekomendasikan TLS 1.2.
+ Siapkan API dan pencatatan aktivitas pengguna dengan AWS CloudTrail.
+ Gunakan solusi AWS enkripsi, bersama dengan semua kontrol keamanan default dalam AWS layanan.
+ Gunakan layanan keamanan terkelola lanjutan seperti Amazon Macie, yang membantu menemukan dan mengamankan data pribadi yang disimpan di Amazon S3.
+ Jika Anda memerlukan modul kriptografi tervalidasi FIPS 140-2 saat mengakses AWS melalui antarmuka baris perintah atau API, gunakan titik akhir FIPS. Untuk informasi lebih lanjut tentang titik akhir FIPS yang tersedia, lihat [Standar Pemrosesan Informasi Federal (FIPS) 140-2](https://aws.amazon.com/compliance/fips/).

Kami sangat merekomendasikan agar Anda tidak pernah memasukkan informasi identifikasi yang sensitif, seperti nomor rekening pelanggan Anda, ke dalam tanda atau bidang isian bebas seperti bidang **Nama**. Ini termasuk saat Anda bekerja dengan WorkSpaces Aplikasi atau AWS layanan lain yang menggunakan konsol, API AWS CLI, atau AWS SDKs. Data apa pun yang Anda masukkan ke dalam tanda atau bidang isian bebas yang digunakan untuk nama dapat digunakan untuk log penagihan atau log diagnostik. Saat Anda memberikan URL ke server eksternal, sebaiknya Anda tidak menyertakan informasi kredensial di URL untuk memvalidasi permintaan Anda ke server tersebut.

**Topics**
+ [Enkripsi saat Data Tidak Berpindah](encryption-rest.md)
+ [Enkripsi Saat Data Berpindah](encryption-transit.md)
+ [Kontrol Administrator](administrator-controls.md)
+ [Akses Aplikasi](application-access.md)

# Enkripsi saat Data Tidak Berpindah
<a name="encryption-rest"></a>

WorkSpaces Contoh armada aplikasi bersifat fana. Setelah sesi streaming pengguna selesai, instance yang mendasari dan volume Amazon Elastic Block Store (Amazon EBS) terkait dihentikan. Selain itu, WorkSpaces Aplikasi secara berkala mendaur ulang instans yang tidak terpakai untuk kesegaran.

Saat Anda mengaktifkan [persistensi pengaturan aplikasi](how-it-works-app-settings-persistence.md), [folder beranda](home-folders-admin.md), [skrip sesi](enable-S3-bucket-storage-session-script-logs.md), atau [laporan penggunaan](enable-usage-reports.md) pengguna Anda, data yang dihasilkan oleh pengguna Anda dan disimpan di bucket Amazon Simple Storage Service akan dienkripsi saat istirahat. AWS Key Management Service adalah layanan yang menggabungkan perangkat keras dan perangkat lunak yang aman dan sangat tersedia untuk menyediakan sistem manajemen kunci yang diskalakan untuk cloud. Amazon S3 menggunakan [AWS Managed CMKs](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk) untuk mengenkripsi data objek Amazon S3 Anda.

# Enkripsi Saat Data Berpindah
<a name="encryption-transit"></a>

Tabel berikut memberikan informasi tentang bagaimana data dienkripsi dalam perjalanan. Jika berlaku, metode perlindungan data lain untuk WorkSpaces Aplikasi juga dicantumkan.


| Data | Jalur jaringan | Seberapa terlindungi | 
| --- | --- | --- | 
|  Aset web Lalu lintas ini mencakup aset seperti gambar dan JavaScript file.  |  Antara Pengguna WorkSpaces Aplikasi dan WorkSpaces Aplikasi  | Dienkripsi menggunakan TLS 1.2 | 
| Pixel dan lalu lintas streaming terkait | Antara Pengguna WorkSpaces Aplikasi dan WorkSpaces Aplikasi |  Dienkripsi menggunakan Standar Enkripsi Lanjutan 256-bit (AES-256) Diangkut menggunakan TLS 1.2  | 
| Lalu lintas API | Antara Pengguna WorkSpaces Aplikasi dan WorkSpaces Aplikasi |  Dienkripsi menggunakan TLS 1.2 Permintaan untuk membuat koneksi ditandatangani menggunakan SiGv4  | 
| Pengaturan aplikasi dan data folder rumah yang dihasilkan oleh pengguna Berlaku saat ketekunan pengaturan aplikasi dan folder rumah diaktifkan.  | Antara pengguna WorkSpaces Aplikasi dan Amazon S3 | Dienkripsi menggunakan titik akhir SSL Amazon S3 | 
| WorkSpaces Lalu lintas yang dikelola aplikasi |  Antara instans streaming WorkSpaces Aplikasi dan: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/appstream2/latest/developerguide/encryption-transit.html)  | Dienkripsi menggunakan TLS 1.2 Permintaan untuk membuat koneksi ditandatangani menggunakan SiGv4 jika berlaku | 

# Kontrol Administrator
<a name="administrator-controls"></a>

WorkSpaces Aplikasi menyediakan kontrol administratif yang dapat Anda gunakan untuk membatasi cara pengguna dapat mentransfer data antara komputer lokal mereka dan instance armada WorkSpaces Aplikasi. Anda dapat membatasi atau menonaktifkan hal berikut saat [membuat atau memperbarui tumpukan WorkSpaces Aplikasi](set-up-stacks-fleets-install.md):
+ Tindakan clipboard/copy dan paste
+ Unggah dan unduh file, termasuk pengalihan folder dan drive
+ Pencetakan

Saat Anda membuat gambar WorkSpaces Aplikasi, Anda dapat menentukan perangkat USB mana yang tersedia untuk mengarahkan ke instance armada WorkSpaces Aplikasi dari klien WorkSpaces Aplikasi untuk Windows. Perangkat USB yang Anda tentukan akan tersedia untuk digunakan selama sesi streaming WorkSpaces Aplikasi pengguna. Untuk informasi selengkapnya, lihat [Memenuhi Syarat Perangkat USB untuk Digunakan dengan Aplikasi Streaming](qualify-usb-devices.md).

# Akses Aplikasi
<a name="application-access"></a>

Secara default, WorkSpaces Aplikasi memungkinkan aplikasi yang Anda tentukan dalam gambar Anda untuk meluncurkan aplikasi lain dan file yang dapat dieksekusi pada pembuat gambar dan instance armada. Ini memastikan bahwa aplikasi dengan dependensi pada aplikasi lain (misalnya, aplikasi yang meluncurkan browser untuk menavigasi ke situs web produk) berfungsi seperti yang diharapkan. Pastikan Anda mengonfigurasi kontrol administratif, grup keamanan, dan perangkat lunak keamanan lainnya untuk memberi pengguna izin minimum yang diperlukan untuk mengakses sumber daya dan mentransfer data antara komputer lokal dan instance armada mereka.

Anda dapat menggunakan perangkat lunak kontrol aplikasi, seperti [Microsoft AppLocker](https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/applocker/applocker-overview), dan kebijakan untuk mengontrol aplikasi dan file mana yang dapat dijalankan pengguna Anda. Perangkat lunak dan kebijakan kontrol aplikasi membantu Anda mengontrol file yang dapat dieksekusi, skrip, file penginstal Windows, pustaka tautan dinamis, dan paket aplikasi yang dapat dijalankan pengguna Anda pada pembuat gambar Aplikasi dan instance armada. WorkSpaces 

**catatan**  
Perangkat lunak agen WorkSpaces Aplikasi bergantung pada prompt perintah Windows dan Windows Powershell untuk menyediakan instance streaming. Jika Anda memilih untuk mencegah pengguna meluncurkan prompt perintah Windows atau Windows Powershell, kebijakan tidak boleh berlaku untuk Windows NT AUTHORITY\$1 SYSTEM atau pengguna di grup Administrator.


| Jenis aturan | Tindakan | Pengguna atau grup Windows | Nama/Jalan | Ketentuan | Deskripsi | 
| --- | --- | --- | --- | --- | --- | 
| Dapat dieksekusi | Izinkan | OTORITAS NT\$1 Sistem | \$1 | Jalan | Diperlukan untuk perangkat lunak agen WorkSpaces Aplikasi | 
| Dapat dieksekusi | Izinkan | BUILTIN\$1 Administrator | \$1 | Jalan | Diperlukan untuk perangkat lunak agen WorkSpaces Aplikasi | 
| Dapat dieksekusi | Izinkan | Semua orang | %PROGRAMFILES%\$1nodejs\$1 \$1 | Jalan | Diperlukan untuk perangkat lunak agen WorkSpaces Aplikasi | 
| Dapat dieksekusi | Izinkan | Semua orang | %PROGRAMFILES%\$1NES\$1 \$1 | Jalan | Diperlukan untuk perangkat lunak agen WorkSpaces Aplikasi | 
| Dapat dieksekusi | Izinkan | Semua orang | %PROGRAMFILES%\$1 Amazon\$1 \$1 | Jalan | Diperlukan untuk perangkat lunak agen WorkSpaces Aplikasi | 
| Dapat dieksekusi | Izinkan | Semua orang | %PROGRAMFILES%\$1 < >\$1 \$1 default-browser | Jalan | Diperlukan untuk perangkat lunak agen WorkSpaces Aplikasi saat solusi penyimpanan persisten, seperti Google Drive atau Microsoft OneDrive for Business, digunakan. Pengecualian ini tidak diperlukan saat folder rumah WorkSpaces Aplikasi digunakan. |