Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Praktik Terbaik Keamanan di WorkSpaces Aplikasi Amazon
Keamanan cloud di Amazon Web Services (AWS) merupakan prioritas tertinggi. Keamanan dan kepatuhan adalah tanggung jawab bersama antara AWS dan pelanggan. Untuk informasi lebih lanjut, lihat [https://aws.amazon.com/compliance/shared-responsibility-model/](https://aws.amazon.com/compliance/shared-responsibility-model/). Sebagai pelanggan AWS dan WorkSpaces Aplikasi, penting untuk menerapkan langkah-langkah keamanan pada lapisan yang berbeda seperti tumpukan, armada, gambar, dan jaringan.
Karena sifatnya yang fana, WorkSpaces Aplikasi sering lebih disukai sebagai solusi aman untuk pengiriman aplikasi dan desktop. Pertimbangkan apakah solusi antivirus yang biasa digunakan dalam penerapan Windows relevan dalam kasus penggunaan Anda untuk lingkungan yang telah ditentukan sebelumnya dan dibersihkan di akhir sesi pengguna. Antivirus menambahkan overhead ke instance virtual, menjadikannya praktik terbaik untuk mengurangi aktivitas yang tidak perlu. Misalnya, memindai volume sistem (yang bersifat sementara) saat boot, misalnya, tidak menambah keamanan Aplikasi secara keseluruhan. WorkSpaces
Dua pertanyaan kunci untuk WorkSpaces Aplikasi keamanan berpusat pada:
+ Apakah status pengguna yang bertahan di luar sesi merupakan persyaratan?
+ Berapa banyak akses yang harus dimiliki pengguna dalam satu sesi?
**Topics**
+ [Mengamankan Data Persisten](securing-persistent-data.md)
+ [Keamanan Titik Akhir dan Antivirus](endpoint-security-antivirus.md)
+ [Pengecualian Jaringan](network-exclusions.md)
+ [Mengamankan Sesi WorkSpaces Aplikasi](securing-session.md)
+ [Firewall dan Routing](firewalls-routing.md)
+ [Pencegahan Kehilangan Data](data-loss-prevention.md)
+ [Mengontrol lalu lintas jalan keluar](controlling-egress-traffic.md)
+ [Menggunakan AWS layanan](using-services.md)
# Mengamankan Data Persisten
Penerapan WorkSpaces Aplikasi dapat memerlukan status pengguna untuk bertahan dalam beberapa bentuk. Mungkin untuk mempertahankan data untuk pengguna individu, atau untuk mempertahankan data untuk kolaborasi menggunakan folder bersama. AppStreamPenyimpanan instance 2.0 bersifat sementara dan tidak memiliki opsi enkripsi.
WorkSpaces Aplikasi menyediakan persistensi status pengguna melalui folder rumah dan pengaturan aplikasi di Amazon S3. Beberapa kasus penggunaan memerlukan kontrol yang lebih besar atas persistensi status pengguna. Untuk kasus penggunaan ini, AWS rekomendasikan untuk menggunakan berbagi file Server Message Block (SMB).
## Status pengguna dan data
Karena sebagian besar aplikasi Windows berkinerja terbaik dan paling aman ketika ditempatkan bersama dengan data aplikasi yang dibuat oleh pengguna, itu adalah praktik terbaik untuk menyimpan data ini Wilayah AWS sama dengan armada WorkSpaces Aplikasi. Mengenkripsi data ini adalah praktik terbaik. Perilaku default folder home pengguna adalah mengenkripsi file dan folder saat istirahat menggunakan kunci enkripsi terkelola Amazon S3 dari layanan manajemen AWS kunci ().AWS KMS Penting untuk dicatat bahwa Pengguna AWS Administratif dengan akses ke bucket AWS Console atau Amazon S3 akan dapat mengakses file-file tersebut secara langsung.
Dalam desain yang memerlukan target Blok Pesan Server (SMB) dari Windows File Share untuk menyimpan file dan folder pengguna, prosesnya otomatis atau memerlukan konfigurasi.
*Tabel 5 — Opsi untuk mengamankan data pengguna*
| **Target SMB** | **E ncryption-at-rest** | **E ncryption-in-transit** | **Antivirus (AV)** |
| --- | --- | --- | --- |
| FSx untuk Windows File Server | [https://docs.aws.amazon.com/fsx/latest/WindowsGuide/encryption-at-rest.html](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/encryption-at-rest.html) | [https://docs.aws.amazon.com/fsx/latest/WindowsGuide/encryption-in-transit.html](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/encryption-in-transit.html) | AV yang diinstal pada instance jarak jauh melakukan pemindaian pada drive yang dipetakan |
| **Gateway File, AWS Storage Gateway** | Secara default, semua data yang disimpan oleh AWS Storage Gateway dalam S3 dienkripsi sisi server dengan Amazon S3-Managed Encryption Keys (SSE-S3). Anda dapat secara opsional mengonfigurasi berbagai jenis gateway untuk mengenkripsi data yang disimpan dengan AWS Key Management Service (KMS) | Semua data yang ditransfer antara semua jenis alat gateway dan AWS penyimpanan dienkripsi menggunakan SSL. | AV yang diinstal pada instance jarak jauh melakukan pemindaian pada drive yang dipetakan |
| Server File Windows Berbasis EC2 | [Aktifkan enkripsi EBS](https://docs.aws.amazon.com/kms/latest/developerguide/services-ebs.html) | PowerShell; Set- SmbServerConfiguration – EncryptData \$1True | AV yang diinstal pada server melakukan pemindaian pada drive lokal |
# Keamanan Titik Akhir dan Antivirus
Sifat singkat instans WorkSpaces Aplikasi dan kurangnya persistensi data berarti pendekatan yang berbeda diperlukan untuk memastikan pengalaman dan kinerja pengguna tidak terganggu oleh aktivitas yang akan diperlukan pada desktop persisten. Agen Keamanan Endpoint diinstal dalam gambar WorkSpaces Aplikasi ketika ada kebijakan organisasi atau ketika digunakan dengan masuknya data eksternal misalnya email, masuknya file, penjelajahan web eksternal.
## Menghapus pengidentifikasi unik
Agen Endpoint Security mungkin memiliki pengenal unik global (GUID) yang harus disetel ulang selama proses pembuatan instance armada. Vendor memiliki instruksi untuk menginstal produk mereka dalam gambar yang akan memastikan GUID baru dihasilkan untuk setiap instance yang dihasilkan dari gambar.
Untuk memastikan GUID tidak dihasilkan, instal agen Endpoint Security sebagai tindakan terakhir sebelum menjalankan WorkSpaces Applications Assistant untuk menghasilkan gambar.
## Optimalisasi kinerja
Vendor Keamanan Endpoint menyediakan sakelar dan pengaturan yang mengoptimalkan kinerja Aplikasi. WorkSpaces Pengaturan bervariasi antara vendor dan dapat ditemukan dalam dokumentasi mereka, biasanya di bagian tentang VDI. Beberapa pengaturan umum termasuk tetapi tidak terbatas pada adalah:
+ Matikan pemindaian boot up untuk memastikan pembuatan instans, waktu startup, dan login diminimalkan
+ Matikan pemindaian terjadwal untuk mencegah pemindaian yang tidak perlu
+ Matikan cache tanda tangan untuk mencegah pencacahan file
+ Aktifkan pengaturan IO yang dioptimalkan VDI
+ Pengecualian yang diperlukan oleh aplikasi untuk memastikan kinerja
Vendor keamanan endpoint memberikan instruksi untuk digunakan dengan lingkungan desktop virtual yang mengoptimalkan kinerja.
+ [Dukungan Pemindaian Kantor Trend Micro untuk Infrastruktur Desktop Virtual - Apex One/ OfficeScan (](https://success.trendmicro.com/solution/1055260-best-practice-for-setting-up-virtual-desktop-infrastructure-vdi-in-officescan)trendmicro.com)
+ CrowdStrike dan [Cara Memasang CrowdStrike Falcon di Pusat Data](https://www.crowdstrike.com/blog/tech-center/install-falcon-datacenter/)
+ Sophos dan [Sophos Central Endpoint: Cara menginstal pada gambar emas untuk menghindari identitas duplikat](https://support.sophos.com/support/s/article/KB-000035040?language=en_US) dan [Sophos Central: Praktik terbaik saat menginstal](https://support.sophos.com/support/s/article/KB-000039009?language=en_US) Titik Akhir Windows di Lingkungan Desktop Virtual
+ McAfee dan [Penyediaan dan penyebaran McAfee Agen pada sistem Infrastruktur Desktop Virtual](https://kc.mcafee.com/corporate/index?page=content&id=KB87654)
+ Microsoft Endpoint Security dan [Mengkonfigurasi Microsoft Defender Antivirus untuk mesin VDI yang tidak persisten](https://techcommunity.microsoft.com/t5/microsoft-defender-for-endpoint/configuring-microsoft-defender-antivirus-for-non-persistent-vdi/ba-p/1489633) - Microsoft Tech Community
## Pengecualian pemindaian
Jika perangkat lunak keamanan diinstal dalam instans WorkSpaces Aplikasi, perangkat lunak keamanan tidak boleh mengganggu proses berikut.
*Tabel 6 — WorkSpaces Aplikasi memproses perangkat lunak keamanan tidak boleh mengganggu proses berikut.*
| **Layanan** | **Proses** |
| --- | --- |
| AmazonCloudWatchAgent | “C:\$1Program File\$1 Amazon\$1AmazonCloudWatchAgent\$1 mulai-amazon- cloudwatch-agent.exe” |
| Amazon SSMAgent | “C:\$1Program File\$1 Amazon\$1 SSM\$1 amazon-ssm-agent .exe” |
| NICE DCV | “C:\$1Program Files\$1 NICE\$1 DCV\$1 Server\$1 bin\$1 dcvserver.exe” "C:\$1Program File\$1 BAGUS\$1 DCV\$1 Server\$1 bin\$1 dcvagent.exe” |
| WorkSpaces Aplikasi | “C:\$1Program File\$1 Amazon\$1 AppStream 2\$1StorageConnector\$1 StorageConnector .exe” Di folder "C:\$1Program Files\$1 Amazon\$1 Photon\$1” “. \$1 Agen\$1 PhotonAgent .exe” “. \$1 Agen\$1 s5cmd.exe” “. \$1WebServer\$1 PhotonAgentWebServer .exe” “. \$1CustomShell\$1 PhotonWindowsAppSwitcher .exe” “. \$1CustomShell\$1 PhotonWindowsCustomShell .exe” “. \$1CustomShell\$1 PhotonWindowsCustomShellBackground .exe” |
## Folder
Jika perangkat lunak keamanan diinstal dalam instans WorkSpaces Aplikasi, perangkat lunak tidak boleh mengganggu folder berikut:
**Example**
```
C:\Program Files\Amazon\*
C:\ProgramData\Amazon\*
C:\Program Files (x86)\AWS Tools\*
C:\Program Files (x86)\AWS SDK for .NET\*
C:\Program Files\NICE\*
C:\ProgramData\NICE\*
C:\AppStream\*
```
## Kebersihan konsol keamanan titik akhir
WorkSpaces Aplikasi akan membuat instance unik baru setiap kali pengguna terhubung di luar batas waktu idle dan memutuskan sambungan. Instans akan memiliki nama yang unik dan akan dibangun di kondoles manajemen keamanan endpoint. Menyetel mesin tua yang tidak digunakan di atas 4 hari atau lebih (atau lebih rendah tergantung pada batas waktu sesi WorkSpaces Aplikasi) untuk dihapus akan meminimalkan jumlah instans kedaluwarsa di konsol.
# Pengecualian Jaringan
Rentang jaringan manajemen WorkSpaces Aplikasi (`198.19.0.0/16`) dan port serta alamat berikut tidak boleh diblokir oleh solusi keamanan/firewall atau antivirus apa pun dalam instance WorkSpaces Aplikasi.
*Tabel 7 — Ports in WorkSpaces Applications streaming instance perangkat lunak keamanan tidak boleh mengganggu*
| **Port** | **Penggunaan** |
| --- | --- |
| 8300 | Ini digunakan untuk membuat koneksi streaming |
| 3128 | Ini digunakan untuk mengelola instance streaming oleh WorkSpaces Aplikasi |
| 8000 | Ini digunakan untuk mengelola instance streaming oleh WorkSpaces Aplikasi |
| 8443 | Ini digunakan untuk mengelola instance streaming oleh WorkSpaces Aplikasi |
| 53 | DNS |
*Tabel 8 — Alamat layanan terkelola WorkSpaces aplikasi perangkat lunak keamanan tidak boleh mengganggu*
| **Port** | **Penggunaan** |
| --- | --- |
| 169.254.169.123 | NTP |
| 169.254.169.249 | Layanan Lisensi NVIDIA GRID |
| 169.254.169.250 | KM |
| 169.254.169.251 | KM |
| 169.254.169.253 | DNS |
| 169.254.169.254 | Metadata |
# Mengamankan Sesi WorkSpaces Aplikasi
## Membatasi kontrol aplikasi dan sistem operasi
WorkSpaces Aplikasi memberi administrator kemampuan untuk menentukan dengan tepat aplikasi mana yang dapat diluncurkan dari halaman web dalam mode streaming aplikasi. Namun, ini tidak menjamin bahwa hanya aplikasi yang ditentukan yang dapat dijalankan.
Utilitas dan aplikasi Windows dapat diluncurkan melalui sistem operasi melalui cara tambahan. AWS merekomendasikan penggunaan [https://aws.amazon.com/blogs/desktop-and-application-streaming/using-microsoft-applocker-to-manage-application-experience-on-amazon-appstream-2-0/](https://aws.amazon.com/blogs/desktop-and-application-streaming/using-microsoft-applocker-to-manage-application-experience-on-amazon-appstream-2-0/) untuk memastikan bahwa hanya aplikasi yang dibutuhkan organisasi Anda yang dapat dijalankan. Aturan default harus dimodifikasi, karena mereka memberi semua orang akses jalur ke direktori sistem kritis.
**catatan**
Windows Server 2016 dan 2019 mengharuskan layanan Identitas Aplikasi Windows berjalan untuk menegakkan AppLocker aturan. Akses aplikasi dari WorkSpaces Aplikasi yang menggunakan Microsoft AppLocker dirinci dalam [Panduan AppStream Admin.](https://docs.aws.amazon.com/appstream2/latest/developerguide/data-protection.html#application-access)
Untuk instance armada yang bergabung dengan domain Active Directory, gunakan Group Policy Objects (GPOs) untuk memberikan setelan pengguna dan sistem guna mengamankan akses aplikasi dan sumber daya pengguna.
# Firewall dan Routing
Saat membuat armada WorkSpaces Aplikasi, subnet dan Grup Keamanan harus ditetapkan. Subnet memiliki penugasan Network Access Control Lists (NACLs) dan tabel rute yang ada. Anda dapat mengaitkan [hingga lima grup keamanan](https://docs.aws.amazon.com/appstream2/latest/developerguide/managing-network-security-groups.html) saat meluncurkan pembuat gambar baru atau saat membuat armada baru Grup Keamanan dapat memiliki hingga [lima tugas dari Grup Keamanan yang ada](https://docs.aws.amazon.com/appstream2/latest/developerguide/managing-network-security-groups.html). Untuk setiap grup keamanan, Anda menambahkan aturan yang mengontrol lalu lintas jaringan keluar dan masuk dari dan ke instans Anda
NACL adalah lapisan keamanan opsional untuk VPC Anda yang bertindak sebagai firewall stateless untuk mengontrol lalu lintas masuk dan keluar dari satu atau lebih subnet. Anda dapat mengatur jaringan ACLs dengan aturan yang mirip dengan grup keamanan Anda untuk menambahkan lapisan keamanan tambahan ke VPC Anda. Untuk informasi selengkapnya tentang perbedaan antara grup keamanan dan jaringan ACLs, lihat [membandingkan grup dan NACLs halaman keamanan](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html#VPC_Security_Comparison).
Saat merancang dan menerapkan aturan Security Group dan NACL, pertimbangkan praktik terbaik AWS Well-Architected untuk mendapatkan hak istimewa paling sedikit. *Keistimewaan paling sedikit* adalah prinsip pemberian hanya izin yang diperlukan untuk menyelesaikan tugas.
Untuk pelanggan yang memiliki jaringan pribadi berkecepatan tinggi yang menghubungkan lingkungan lokal mereka ke AWS (melalui AWS Direct Connect), Anda dapat mempertimbangkan untuk menggunakan Titik Akhir VPC untuk AppStream, yang berarti lalu lintas streaming akan dirutekan melalui konektivitas jaringan pribadi Anda daripada melintasi internet publik. Untuk informasi selengkapnya tentang topik ini, lihat bagian Titik akhir VPC antarmuka streaming WorkSpaces aplikasi pada dokumen ini.
# Pencegahan Kehilangan Data
Kita akan melihat dua jenis pencegahan kehilangan data.
## Klien ke AppStream 2.0 Kontrol Transfer Data Instance
*Tabel 9 — Panduan untuk mengontrol masuknya data dan keluar*
| **Pengaturan** | **Pilihan** | **Bimbingan** |
| --- | --- | --- |
| Papan klip | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/appstream2/latest/developerguide/data-loss-prevention.html) | Menonaktifkan pengaturan ini tidak menonaktifkan salin dan tempel dalam sesi. Jika menyalin data ke sesi diperlukan, pilih Tempel ke sesi jarak jauh hanya untuk meminimalkan potensi kebocoran data. |
| Transfer file | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/appstream2/latest/developerguide/data-loss-prevention.html) | Hindari mengaktifkan pengaturan ini untuk mencegah kebocoran data. |
| Mencetak ke perangkat lokal | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/appstream2/latest/developerguide/data-loss-prevention.html) | Jika pencetakan diperlukan, gunakan printer yang dipetakan jaringan yang dikontrol dan dipantau oleh organisasi Anda. |
Pertimbangkan keuntungan dari solusi transfer data organisasi yang ada dibandingkan pengaturan tumpukan. Konfigurasi ini tidak dirancang untuk menggantikan solusi transfer data aman yang komprehensif.
# Mengontrol lalu lintas jalan keluar
Di mana kehilangan data menjadi perhatian, penting untuk menutupi apa yang dapat diakses Pengguna begitu mereka berada di dalam instance WorkSpaces Aplikasi mereka. Seperti apa jalur keluar (atau jalan keluar) jaringan? Merupakan persyaratan umum untuk memiliki akses internet publik yang tersedia bagi pengguna akhir di dalam instance WorkSpaces Aplikasi mereka, sehingga menempatkan Solusi Penyaringan Konten WebProxy atau di jalur jaringan perlu dipertimbangkan. Pertimbangan lain termasuk aplikasi Antivirus lokal dan langkah-langkah keamanan endpoint lainnya di dalam AppStream instance (lihat bagian “Endpoint Security and Antivirus” untuk informasi lebih lanjut).
# Menggunakan AWS layanan
## AWS Identity and Access Management
Menggunakan peran IAM untuk mengakses AWS layanan, dan menjadi spesifik dalam kebijakan IAM yang melekat padanya, adalah praktik terbaik yang hanya menyediakan pengguna dalam sesi WorkSpaces Aplikasi yang memiliki akses tanpa mengelola kredensil tambahan. Ikuti [https://docs.aws.amazon.com/appstream2/latest/developerguide/using-iam-roles-to-grant-permissions-to-applications-scripts-streaming-instances.html#best-practices-for-using-iam-role-with-streaming-instances](https://docs.aws.amazon.com/appstream2/latest/developerguide/using-iam-roles-to-grant-permissions-to-applications-scripts-streaming-instances.html#best-practices-for-using-iam-role-with-streaming-instances).
Buat [https://docs.aws.amazon.com/appstream2/latest/developerguide/s3-iam-policy.html](https://docs.aws.amazon.com/appstream2/latest/developerguide/s3-iam-policy.html) yang dibuat untuk mempertahankan data pengguna di folder beranda dan persistensi pengaturan aplikasi. Hal ini [https://docs.aws.amazon.com/appstream2/latest/developerguide/s3-iam-policy.html#s3-iam-policy-restricted-access](https://docs.aws.amazon.com/appstream2/latest/developerguide/s3-iam-policy.html#s3-iam-policy-restricted-access) dari akses.
## Titik akhir VPC
Titik akhir VPC memungkinkan koneksi pribadi antara VPC Anda AWS dan layanan yang didukung serta layanan titik akhir VPC yang didukung oleh. AWS PrivateLink AWS PrivateLink adalah teknologi yang memungkinkan Anda mengakses layanan secara pribadi dengan menggunakan alamat IP pribadi. Lalu lintas antara VPC Anda dan layanan lainnya tidak meninggalkan jaringan Amazon. Jika akses internet publik hanya diperlukan untuk AWS layanan, titik akhir VPC menghapus persyaratan untuk gateway NAT dan gateway internet sama sekali.
Di lingkungan di mana rutinitas otomatisasi atau pengembang memerlukan panggilan API untuk WorkSpaces Aplikasi, [https://docs.aws.amazon.com/appstream2/latest/developerguide/access-api-cli-through-interface-vpc-endpoint.html](https://docs.aws.amazon.com/appstream2/latest/developerguide/access-api-cli-through-interface-vpc-endpoint.html) operasi API Aplikasi. [https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateStreamingURL.html](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateStreamingURL.html) Diagram berikut menunjukkan contoh pengaturan di mana WorkSpaces Applications API dan streaming VPC endpoint dikonsumsi oleh fungsi Lambda dan instans EC2.
![\[Diagram arsitektur referensi untuk titik akhir VPC\]](http://docs.aws.amazon.com/id_id/appstream2/latest/developerguide/images/vpc-endpoint.jpeg)
*Titik akhir VPC*
Titik akhir VPC streaming memungkinkan Anda melakukan streaming sesi melalui titik akhir VPC. Titik akhir antarmuka streaming mempertahankan lalu lintas streaming dalam VPC Anda. Lalu lintas streaming termasuk piksel, USB, input pengguna, audio, clipboard, unggahan dan unduhan file, dan lalu lintas printer. Untuk menggunakan titik akhir VPC, pengaturan titik akhir VPC harus diaktifkan di tumpukan Aplikasi. WorkSpaces Ini berfungsi sebagai alternatif untuk streaming sesi pengguna melalui internet publik dari lokasi yang memiliki akses internet terbatas dan akan mendapat manfaat dari mengakses melalui instance Direct Connect. Streaming sesi pengguna melalui titik akhir VPC memerlukan hal berikut:
+ Grup Keamanan yang terkait dengan titik akhir antarmuka harus mengizinkan akses masuk ke port `443` (TCP) dan port `1400–1499` (TCP) dari rentang alamat IP dari mana pengguna Anda terhubung.
+ Daftar Kontrol Akses Jaringan untuk subnet harus mengizinkan lalu lintas keluar dari port jaringan sementara `1024-65535` (TCP) ke rentang alamat IP dari mana pengguna Anda terhubung.
+ Konektivitas internet diperlukan untuk mengautentikasi pengguna dan mengirimkan aset web yang dibutuhkan WorkSpaces Aplikasi untuk berfungsi.
Untuk mempelajari lebih lanjut tentang membatasi lalu lintas ke AWS layanan dengan WorkSpaces Aplikasi, lihat panduan administrasi untuk [https://docs.aws.amazon.com/appstream2/latest/developerguide/creating-streaming-from-interface-vpc-endpoints.html](https://docs.aws.amazon.com/appstream2/latest/developerguide/creating-streaming-from-interface-vpc-endpoints.html).
Ketika akses internet publik penuh diperlukan, itu adalah praktik terbaik untuk menonaktifkan Internet Explorer Enhanced Security Configuration (ESC) pada Image Builder. Untuk informasi selengkapnya, lihat panduan Administrasi WorkSpaces aplikasi untuk [https://docs.aws.amazon.com/appstream2/latest/developerguide/customize-fleets.html#customize-fleets-disable-ie-esc](https://docs.aws.amazon.com/appstream2/latest/developerguide/customize-fleets.html#customize-fleets-disable-ie-esc).
## Mengonfigurasi Layanan Metadata Instance (IMDS) pada instans
Topik ini menjelaskan Layanan Metadata Instance (IMDS).
*Metadata instans* adalah data yang terkait dengan instans Amazon Elastic Compute Cloud (Amazon EC2) yang dapat digunakan aplikasi untuk mengonfigurasi atau mengelola instans yang sedang berjalan. Layanan metadata instans (IMDS) adalah komponen pada instans yang menggunakan kode pada instans untuk mengakses metadata instans dengan aman. Untuk informasi selengkapnya, lihat [Metadata instans dan data pengguna](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-metadata.html) di Panduan Pengguna *Amazon EC2*.
Kode dapat mengakses metadata instance dari instance yang sedang berjalan menggunakan salah satu dari dua metode: Instance Metadata Service Version 1 (IMDSv1) atau Instance Metadata Service Version 2 (). IMDSv2 IMDSv2 menggunakan permintaan berorientasi sesi dan mengurangi beberapa jenis kerentanan yang dapat digunakan untuk mencoba mengakses IMDS. Untuk informasi tentang kedua metode ini, lihat [Mengonfigurasi layanan metadata instans di Panduan](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-service.html) Pengguna *Amazon* EC2.
### Dukungan sumber daya untuk IMDS
Armada Selalu Aktif, Sesuai Permintaan, Sesi Tunggal, dan Multi-Sesi, dan semua Pembuat Gambar mendukung keduanya IMDSv1 dan IMDSv2 saat menjalankan gambar WorkSpaces Aplikasi dengan versi agen atau pembaruan gambar terkelola yang dirilis pada atau setelah 16 Januari 2024.
Instans Armada dan AppBlock Pembangun Elastis juga mendukung keduanya dan IMDSv1 . IMDSv2
### Contoh pengaturan atribut IMDS
Di bawah ini adalah dua contoh memilih metode IMDS:
#### Contoh SDK Java v2
Di bawah contoh permintaan nonaktifkan IMDSv1 menggunakan `disableIMDSV1` atribut
```
CreateFleetRequest request = CreateFleetRequest.builder()
.name("TestFleet")
.imageArn("arn:aws:appstream:us-east-1::image/TestImage")
.instanceType("stream.standard.large")
.fleetType(FleetType.ALWAYS_ON)
.computeCapacity(ComputeCapacity.builder()
.desiredInstances(5)
.build())
.description("Test fleet description")
.displayName("Test Fleet Display Name")
.enableDefaultInternetAccess(true)
.maxUserDurationInSeconds(3600)
.disconnectTimeoutInSeconds(900)
.idleDisconnectTimeoutInSeconds(600)
.iamRoleArn("arn:aws:iam::123456789012:role/TestRole")
.streamView(StreamView.APP)
.platform(PlatformType.WINDOWS)
.maxConcurrentSessions(10)
.maxSessionsPerInstance(2)
.tags(tags)
.disableIMDSV1(true)
.build();
```
Setel **nonaktifkan IMDSV1** ke true untuk menonaktifkan IMDSv1 dan menegakkan IMDSv2.
Setel **nonaktifkan IMDSV1** ke false untuk mengaktifkan keduanya IMDSv1 dan IMDSv2.
#### Contoh CLI
Di bawah contoh permintaan nonaktifkan IMDSv1 menggunakan `--disable-imdsv1` atribut
```
aws appstream create-fleet --name test-fleet --image-arn "arn:aws:appstream:us-east-1::image/test-image" --disable-imdsv1 --instance-type stream.standard.small --compute-capacity DesiredInstances=2 --max-user-duration-in-seconds 57600 --disconnect-timeout-in-seconds 57600 --region us-east-1
```
Setel `--disable-imdsv1` ke true untuk menonaktifkan IMDSv1 dan menegakkan IMDSv2.
Setel `--no-disable-imdsv1` ke false untuk mengaktifkan keduanya IMDSv1 dan IMDSv2.