Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Keamanan dalam WorkSpaces Aplikasi Amazon
<a name="security"></a>

Keamanan cloud di AWS adalah prioritas tertinggi. Sebagai AWS pelanggan, Anda mendapat manfaat dari pusat data dan arsitektur jaringan yang dibangun untuk memenuhi persyaratan organisasi yang paling sensitif terhadap keamanan.

Keamanan adalah tanggung jawab bersama antara Anda AWS dan Anda. [Model tanggung jawab bersama](https://aws.amazon.com/compliance/shared-responsibility-model/) menjelaskan hal ini sebagai keamanan cloud dan keamanan dalam cloud:
+ **Keamanan cloud** — AWS bertanggung jawab untuk melindungi infrastruktur yang menjalankan AWS layanan di AWS Cloud. AWS juga memberi Anda layanan yang dapat Anda gunakan dengan aman. Auditor pihak ketiga secara teratur menguji dan memverifikasi efektivitas keamanan kami sebagai bagian dari [Program AWS Kepatuhan Program AWS Kepatuhan](https://aws.amazon.com/compliance/programs/) . Untuk informasi tentang program kepatuhan yang berlaku untuk WorkSpaces Aplikasi, lihat [AWS Layanan dalam Lingkup oleh AWS Layanan Program Kepatuhan](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Keamanan di cloud** — Tanggung jawab Anda ditentukan oleh AWS layanan yang Anda gunakan. Anda juga bertanggung jawab atas faktor lain, yang mencakup kepekaan data Anda, persyaratan perusahaan, serta peraturan perundangan yang berlaku 

Dokumentasi ini membantu Anda memahami cara menerapkan model tanggung jawab bersama saat menggunakan WorkSpaces Aplikasi. Ini menunjukkan kepada Anda cara mengonfigurasi WorkSpaces Aplikasi untuk memenuhi tujuan keamanan dan kepatuhan Anda. Anda juga mempelajari cara menggunakan AWS layanan lain yang membantu Anda memantau dan mengamankan sumber daya WorkSpaces Aplikasi Anda.

**Topics**
+ [

# Perlindungan Data di WorkSpaces Aplikasi Amazon
](data-protection.md)
+ [

# Identity and Access Management untuk WorkSpaces Aplikasi Amazon
](controlling-access.md)
+ [

# Logging dan Monitoring di WorkSpaces Aplikasi Amazon
](logging-monitoring-alerting.md)
+ [

# Validasi Kepatuhan untuk Aplikasi Amazon WorkSpaces
](compliance-validation.md)
+ [

# Ketahanan dalam Aplikasi Amazon WorkSpaces
](disaster-recovery-resiliency.md)
+ [

# Keamanan Infrastruktur di WorkSpaces Aplikasi Amazon
](infrastructure-security.md)
+ [

# Grup Keamanan di WorkSpaces Aplikasi Amazon
](managing-network-security-groups.md)
+ [

# Perbarui Manajemen di WorkSpaces Aplikasi Amazon
](update-management.md)
+ [

# WorkSpaces Aplikasi Amazon Cross-Service Pencegahan Deputi Bingung
](confused-deputy.md)
+ [

# Praktik Terbaik Keamanan di WorkSpaces Aplikasi Amazon
](security-best-practices.md)

# Perlindungan Data di WorkSpaces Aplikasi Amazon
<a name="data-protection"></a>

[Model tanggung jawab AWS bersama model](https://aws.amazon.com/compliance/shared-responsibility-model/) berlaku untuk perlindungan data di WorkSpaces Aplikasi Amazon. Seperti yang dijelaskan dalam model AWS ini, bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua AWS Cloud. Anda harus bertanggung jawab untuk memelihara kendali terhadap konten yang di-hosting pada infrastruktur ini. Konten ini meliputi konfigurasi keamanan dan tugas-tugas pengelolaan untuk berbagai layanan Layanan AWS yang Anda gunakan. Lihat informasi yang lebih lengkap tentang privasi data dalam [Pertanyaan Umum Privasi Data](https://aws.amazon.com/compliance/data-privacy-faq). Lihat informasi tentang perlindungan data di Eropa di pos blog [Model Tanggung Jawab Bersama dan GDPR AWS](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) di *Blog Keamanan AWS *.

Untuk tujuan perlindungan data, kami menyarankan Anda melindungi Akun AWS kredensil dan mengatur pengguna individu dengan AWS Identity and Access Management (IAM). Dengan cara ini, setiap pengguna hanya diberi izin yang diperlukan untuk memenuhi tanggung jawab tugas mereka. Kami juga merekomendasikan agar Anda mengamankan data Anda dengan cara-cara berikut ini:
+ Gunakan autentikasi multi-faktor (MFA) pada setiap akun.
+ Gunakan SSL/TLS untuk berkomunikasi dengan AWS sumber daya. Kami merekomendasikan TLS 1.2.
+ Siapkan API dan pencatatan aktivitas pengguna dengan AWS CloudTrail.
+ Gunakan solusi AWS enkripsi, bersama dengan semua kontrol keamanan default dalam AWS layanan.
+ Gunakan layanan keamanan terkelola lanjutan seperti Amazon Macie, yang membantu menemukan dan mengamankan data pribadi yang disimpan di Amazon S3.
+ Jika Anda memerlukan modul kriptografi tervalidasi FIPS 140-2 saat mengakses AWS melalui antarmuka baris perintah atau API, gunakan titik akhir FIPS. Untuk informasi lebih lanjut tentang titik akhir FIPS yang tersedia, lihat [Standar Pemrosesan Informasi Federal (FIPS) 140-2](https://aws.amazon.com/compliance/fips/).

Kami sangat merekomendasikan agar Anda tidak pernah memasukkan informasi identifikasi yang sensitif, seperti nomor rekening pelanggan Anda, ke dalam tanda atau bidang isian bebas seperti bidang **Nama**. Ini termasuk saat Anda bekerja dengan WorkSpaces Aplikasi atau AWS layanan lain yang menggunakan konsol, API AWS CLI, atau AWS SDKs. Data apa pun yang Anda masukkan ke dalam tanda atau bidang isian bebas yang digunakan untuk nama dapat digunakan untuk log penagihan atau log diagnostik. Saat Anda memberikan URL ke server eksternal, sebaiknya Anda tidak menyertakan informasi kredensial di URL untuk memvalidasi permintaan Anda ke server tersebut.

**Topics**
+ [

# Enkripsi saat Data Tidak Berpindah
](encryption-rest.md)
+ [

# Enkripsi Saat Data Berpindah
](encryption-transit.md)
+ [

# Kontrol Administrator
](administrator-controls.md)
+ [

# Akses Aplikasi
](application-access.md)

# Enkripsi saat Data Tidak Berpindah
<a name="encryption-rest"></a>

WorkSpaces Contoh armada aplikasi bersifat fana. Setelah sesi streaming pengguna selesai, instance yang mendasari dan volume Amazon Elastic Block Store (Amazon EBS) terkait dihentikan. Selain itu, WorkSpaces Aplikasi secara berkala mendaur ulang instans yang tidak terpakai untuk kesegaran.

Saat Anda mengaktifkan [persistensi pengaturan aplikasi](how-it-works-app-settings-persistence.md), [folder beranda](home-folders-admin.md), [skrip sesi](enable-S3-bucket-storage-session-script-logs.md), atau [laporan penggunaan](enable-usage-reports.md) pengguna Anda, data yang dihasilkan oleh pengguna Anda dan disimpan di bucket Amazon Simple Storage Service akan dienkripsi saat istirahat. AWS Key Management Service adalah layanan yang menggabungkan perangkat keras dan perangkat lunak yang aman dan sangat tersedia untuk menyediakan sistem manajemen kunci yang diskalakan untuk cloud. Amazon S3 menggunakan [AWS Managed CMKs](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk) untuk mengenkripsi data objek Amazon S3 Anda.

# Enkripsi Saat Data Berpindah
<a name="encryption-transit"></a>

Tabel berikut memberikan informasi tentang bagaimana data dienkripsi dalam perjalanan. Jika berlaku, metode perlindungan data lain untuk WorkSpaces Aplikasi juga dicantumkan.


| Data | Jalur jaringan | Seberapa terlindungi | 
| --- | --- | --- | 
|  Aset web Lalu lintas ini mencakup aset seperti gambar dan JavaScript file.  |  Antara Pengguna WorkSpaces Aplikasi dan WorkSpaces Aplikasi  | Dienkripsi menggunakan TLS 1.2 | 
| Pixel dan lalu lintas streaming terkait | Antara Pengguna WorkSpaces Aplikasi dan WorkSpaces Aplikasi |  Dienkripsi menggunakan Standar Enkripsi Lanjutan 256-bit (AES-256) Diangkut menggunakan TLS 1.2  | 
| Lalu lintas API | Antara Pengguna WorkSpaces Aplikasi dan WorkSpaces Aplikasi |  Dienkripsi menggunakan TLS 1.2 Permintaan untuk membuat koneksi ditandatangani menggunakan SiGv4  | 
| Pengaturan aplikasi dan data folder rumah yang dihasilkan oleh pengguna Berlaku saat ketekunan pengaturan aplikasi dan folder rumah diaktifkan.  | Antara pengguna WorkSpaces Aplikasi dan Amazon S3 | Dienkripsi menggunakan titik akhir SSL Amazon S3 | 
| WorkSpaces Lalu lintas yang dikelola aplikasi |  Antara instans streaming WorkSpaces Aplikasi dan: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/appstream2/latest/developerguide/encryption-transit.html)  | Dienkripsi menggunakan TLS 1.2 Permintaan untuk membuat koneksi ditandatangani menggunakan SiGv4 jika berlaku | 

# Kontrol Administrator
<a name="administrator-controls"></a>

WorkSpaces Aplikasi menyediakan kontrol administratif yang dapat Anda gunakan untuk membatasi cara pengguna dapat mentransfer data antara komputer lokal mereka dan instance armada WorkSpaces Aplikasi. Anda dapat membatasi atau menonaktifkan hal berikut saat [membuat atau memperbarui tumpukan WorkSpaces Aplikasi](set-up-stacks-fleets-install.md):
+ Tindakan clipboard/copy dan paste
+ Unggah dan unduh file, termasuk pengalihan folder dan drive
+ Pencetakan

Saat Anda membuat gambar WorkSpaces Aplikasi, Anda dapat menentukan perangkat USB mana yang tersedia untuk mengarahkan ke instance armada WorkSpaces Aplikasi dari klien WorkSpaces Aplikasi untuk Windows. Perangkat USB yang Anda tentukan akan tersedia untuk digunakan selama sesi streaming WorkSpaces Aplikasi pengguna. Untuk informasi selengkapnya, lihat [Memenuhi Syarat Perangkat USB untuk Digunakan dengan Aplikasi Streaming](qualify-usb-devices.md).

# Akses Aplikasi
<a name="application-access"></a>

Secara default, WorkSpaces Aplikasi memungkinkan aplikasi yang Anda tentukan dalam gambar Anda untuk meluncurkan aplikasi lain dan file yang dapat dieksekusi pada pembuat gambar dan instance armada. Ini memastikan bahwa aplikasi dengan dependensi pada aplikasi lain (misalnya, aplikasi yang meluncurkan browser untuk menavigasi ke situs web produk) berfungsi seperti yang diharapkan. Pastikan Anda mengonfigurasi kontrol administratif, grup keamanan, dan perangkat lunak keamanan lainnya untuk memberi pengguna izin minimum yang diperlukan untuk mengakses sumber daya dan mentransfer data antara komputer lokal dan instance armada mereka.

Anda dapat menggunakan perangkat lunak kontrol aplikasi, seperti [Microsoft AppLocker](https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/applocker/applocker-overview), dan kebijakan untuk mengontrol aplikasi dan file mana yang dapat dijalankan pengguna Anda. Perangkat lunak dan kebijakan kontrol aplikasi membantu Anda mengontrol file yang dapat dieksekusi, skrip, file penginstal Windows, pustaka tautan dinamis, dan paket aplikasi yang dapat dijalankan pengguna Anda pada pembuat gambar Aplikasi dan instance armada. WorkSpaces 

**catatan**  
Perangkat lunak agen WorkSpaces Aplikasi bergantung pada prompt perintah Windows dan Windows Powershell untuk menyediakan instance streaming. Jika Anda memilih untuk mencegah pengguna meluncurkan prompt perintah Windows atau Windows Powershell, kebijakan tidak boleh berlaku untuk Windows NT AUTHORITY\$1 SYSTEM atau pengguna di grup Administrator.


| Jenis aturan | Tindakan | Pengguna atau grup Windows | Nama/Jalan | Ketentuan | Deskripsi | 
| --- | --- | --- | --- | --- | --- | 
| Dapat dieksekusi | Izinkan | OTORITAS NT\$1 Sistem | \$1 | Jalan | Diperlukan untuk perangkat lunak agen WorkSpaces Aplikasi | 
| Dapat dieksekusi | Izinkan | BUILTIN\$1 Administrator | \$1 | Jalan | Diperlukan untuk perangkat lunak agen WorkSpaces Aplikasi | 
| Dapat dieksekusi | Izinkan | Semua orang | %PROGRAMFILES%\$1nodejs\$1 \$1 | Jalan | Diperlukan untuk perangkat lunak agen WorkSpaces Aplikasi | 
| Dapat dieksekusi | Izinkan | Semua orang | %PROGRAMFILES%\$1NES\$1 \$1 | Jalan | Diperlukan untuk perangkat lunak agen WorkSpaces Aplikasi | 
| Dapat dieksekusi | Izinkan | Semua orang | %PROGRAMFILES%\$1 Amazon\$1 \$1 | Jalan | Diperlukan untuk perangkat lunak agen WorkSpaces Aplikasi | 
| Dapat dieksekusi | Izinkan | Semua orang | %PROGRAMFILES%\$1 < >\$1 \$1 default-browser | Jalan | Diperlukan untuk perangkat lunak agen WorkSpaces Aplikasi saat solusi penyimpanan persisten, seperti Google Drive atau Microsoft OneDrive for Business, digunakan. Pengecualian ini tidak diperlukan saat folder rumah WorkSpaces Aplikasi digunakan. | 

# Identity and Access Management untuk WorkSpaces Aplikasi Amazon
<a name="controlling-access"></a>

Kredensi keamanan Anda mengidentifikasi Anda ke layanan AWS dan memberi Anda penggunaan sumber daya tanpa batas, seperti AWS sumber daya WorkSpaces Aplikasi Anda. Anda dapat menggunakan fitur WorkSpaces Aplikasi dan AWS Identity and Access Management (IAM) untuk memungkinkan pengguna, layanan, dan aplikasi lain menggunakan sumber daya WorkSpaces Aplikasi Anda tanpa membagikan kredensil keamanan Anda. 

Anda dapat menggunakan IAM untuk mengontrol cara pengguna lain menggunakan sumber daya di akun Amazon Web Services Anda, dan Anda dapat menggunakan grup keamanan untuk mengontrol akses ke instans streaming WorkSpaces Aplikasi Anda. Anda dapat mengizinkan penggunaan penuh atau penggunaan terbatas sumber daya WorkSpaces Aplikasi Anda. 

**Topics**
+ [

# Akses Jaringan ke Instans Streaming Anda
](network-access-to-streaming-instances.md)
+ [

# Menggunakan Kebijakan AWS Terkelola dan Peran Tertaut untuk Mengelola Akses Administrator ke Sumber Daya WorkSpaces Aplikasi
](controlling-administrator-access-with-policies-roles.md)
+ [

# Menggunakan Kebijakan IAM untuk Mengelola Akses Administrator ke Application Auto Scaling
](autoscaling-iam-policy.md)
+ [

# Menggunakan Kebijakan IAM untuk Mengelola Akses Administrator ke Bucket Amazon S3 untuk Folder Rumah dan Persistensi Pengaturan Aplikasi
](s3-iam-policy.md)
+ [

# Menggunakan Peran IAM untuk Memberikan Izin ke Aplikasi dan Skrip yang Berjalan pada WorkSpaces Instans Streaming Aplikasi
](using-iam-roles-to-grant-permissions-to-applications-scripts-streaming-instances.md)
+ [

# SELinux di Red Hat Enterprise Linux dan Rocky Linux
](selinux.md)
+ [

# Otentikasi Berbasis Cookie di Aplikasi Amazon WorkSpaces
](cookie-auth.md)

# Akses Jaringan ke Instans Streaming Anda
<a name="network-access-to-streaming-instances"></a>

Grup keamanan bertindak sebagai firewall stateful yang mengontrol lalu lintas apa yang diizinkan untuk mencapai instans streaming Anda. Saat Anda meluncurkan instans streaming WorkSpaces Aplikasi, tetapkan ke satu atau beberapa grup keamanan. Kemudian, tambahkan aturan ke setiap grup keamanan yang mengontrol lalu lintas untuk instance. Anda dapat melakukan modifikasi terhadap aturan-aturan untuk grup keamanan kapan saja. Aturan baru diterapkan secara otomatis ke semua instance tempat grup keamanan ditetapkan. 

Untuk informasi selengkapnya, lihat [Grup Keamanan di WorkSpaces Aplikasi Amazon](managing-network-security-groups.md).

# Menggunakan Kebijakan AWS Terkelola dan Peran Tertaut untuk Mengelola Akses Administrator ke Sumber Daya WorkSpaces Aplikasi
<a name="controlling-administrator-access-with-policies-roles"></a>

Secara default, pengguna IAM tidak memiliki izin yang diperlukan untuk membuat atau memodifikasi sumber daya WorkSpaces Aplikasi, atau melakukan tugas dengan menggunakan WorkSpaces Applications API. Ini berarti bahwa pengguna ini tidak dapat melakukan tindakan ini di konsol WorkSpaces Aplikasi atau dengan menggunakan perintah WorkSpaces Applications AWS CLI. Untuk memungkinkan pengguna IAM membuat atau memodifikasi sumber daya dan melakukan tugas, lampirkan kebijakan IAM ke pengguna IAM atau grup yang memerlukan izin tersebut. 

Saat Anda melampirkan kebijakan ke pengguna, grup pengguna, atau peran IAM, kebijakan tersebut mengizinkan atau menolak izin pengguna untuk melakukan tugas yang ditentukan pada sumber daya yang ditentukan. 

**Topics**
+ [

# AWS Kebijakan Terkelola yang Diperlukan untuk Mengakses Sumber Daya WorkSpaces Aplikasi
](managed-policies-required-to-access-appstream-resources.md)
+ [

# Peran yang Diperlukan untuk WorkSpaces Aplikasi, Application Auto Scaling, dan AWS Certificate Manager Private CA
](roles-required-for-appstream.md)
+ [

# Memeriksa Peran dan Kebijakan AmazonAppStreamServiceAccess Layanan
](controlling-access-checking-for-iam-service-access.md)
+ [

# Memeriksa Peran dan Kebijakan ApplicationAutoScalingForAmazonAppStreamAccess Layanan
](controlling-access-checking-for-iam-autoscaling.md)
+ [

# Memeriksa `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` Peran dan Kebijakan Terkait Layanan
](controlling-access-checking-for-iam-service-linked-role-application-autoscaling-appstream-fleet.md)
+ [

# Memeriksa Peran dan Kebijakan AmazonAppStream PCAAccess Layanan
](controlling-access-checking-for-AppStreamPCAAccess.md)

# AWS Kebijakan Terkelola yang Diperlukan untuk Mengakses Sumber Daya WorkSpaces Aplikasi
<a name="managed-policies-required-to-access-appstream-resources"></a>

Untuk menyediakan akses administratif atau hanya-baca penuh ke WorkSpaces Aplikasi, Anda harus melampirkan salah satu kebijakan AWS terkelola berikut ke pengguna IAM atau grup yang memerlukan izin tersebut. *Kebijakan terkelola AWS * adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. Untuk informasi selengkapnya, lihat [Kebijakan Terkelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dalam *Panduan Pengguna IAM*.

**catatan**  
Di AWS, peran IAM digunakan untuk memberikan izin ke AWS layanan sehingga dapat mengakses AWS sumber daya. Kebijakan yang melekat pada peran menentukan AWS sumber daya mana yang dapat diakses oleh layanan dan apa yang dapat dilakukannya dengan sumber daya tersebut. Untuk WorkSpaces Aplikasi, selain memiliki izin yang ditentukan dalam **AmazonAppStreamFullAccess**kebijakan, Anda juga harus memiliki peran yang diperlukan di AWS akun Anda. Untuk informasi selengkapnya, lihat [Peran yang Diperlukan untuk WorkSpaces Aplikasi, Application Auto Scaling, dan AWS Certificate Manager Private CA](roles-required-for-appstream.md).

**AmazonAppStreamFullAccess**  
Kebijakan terkelola ini menyediakan akses administratif penuh ke sumber daya WorkSpaces Aplikasi. Untuk mengelola sumber daya WorkSpaces Aplikasi dan melakukan tindakan API melalui Antarmuka Baris AWS Perintah (AWS CLI), AWS SDK, atau Konsol AWS Manajemen, Anda harus memiliki izin yang ditentukan dalam kebijakan ini.  
Jika Anda masuk ke konsol WorkSpaces Aplikasi sebagai pengguna IAM, Anda harus melampirkan kebijakan ini ke aplikasi Anda Akun AWS. Jika Anda masuk melalui federasi konsol, Anda harus melampirkan kebijakan ini ke peran IAM yang digunakan untuk federasi.  
Untuk melihat izin kebijakan ini, lihat [AmazonAppStreamFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamFullAccess.html).

**AmazonAppStreamReadOnlyAccess**  
Kebijakan berbasis identitas ini memberi pengguna izin hanya-baca untuk melihat dan memantau WorkSpaces sumber daya Aplikasi dan konfigurasi layanan terkait. Pengguna dapat mengakses konsol WorkSpaces Aplikasi untuk melihat aplikasi streaming, status armada, laporan penggunaan, dan sumber daya terkait, tetapi tidak dapat membuat perubahan apa pun. Kebijakan ini juga mencakup izin baca yang diperlukan untuk mendukung layanan seperti IAM, Application Auto Scaling, CloudWatch dan untuk memungkinkan kemampuan pemantauan dan pelaporan yang komprehensif.  
Untuk melihat izin kebijakan ini, lihat [AmazonAppStreamReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamReadOnlyAccess.html).

Konsol WorkSpaces Aplikasi menggunakan tindakan tambahan yang menyediakan fungsionalitas yang tidak tersedia melalui AWS CLI atau AWS SDK. **AmazonAppStreamReadOnlyAccess**Kebijakan **AmazonAppStreamFullAccess**dan kebijakan keduanya memberikan izin untuk tindakan berikut.


| Tindakan | Deskripsi | Tingkat Akses | 
| --- | --- | --- | 
| DescribeImageBuilders | Memberikan izin untuk mengambil daftar yang menjelaskan satu atau beberapa pembuat gambar tertentu, jika nama pembuat gambar disediakan. Jika tidak, semua pembuat gambar di akun dijelaskan. | Baca | 

**AmazonAppStreamPCAAccess**  
Kebijakan terkelola ini menyediakan akses administratif penuh ke sumber daya AWS Certificate Manager Private CA di AWS akun Anda untuk otentikasi berbasis sertifikat.  
Untuk melihat izin kebijakan ini, lihat [AmazonAppStreamPCAAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamPCAAccess.html).

**AmazonAppStreamServiceAccess**  
Kebijakan terkelola ini adalah kebijakan default untuk peran layanan WorkSpaces Aplikasi.   
Kebijakan izin peran ini memungkinkan WorkSpaces Aplikasi untuk menyelesaikan tindakan berikut:  
+ Saat menggunakan subnet di akun Anda untuk armada WorkSpaces Aplikasi Anda, WorkSpaces Aplikasi dapat mendeskripsikan subnet VPCs, dan zona ketersediaan, serta membuat dan mengelola siklus hidup semua antarmuka jaringan elastis yang terkait dengan instance armada di subnet tersebut. Ini juga termasuk dapat melampirkan Grup Keamanan dan alamat IP dari subnet tersebut ke antarmuka jaringan elastis tersebut.
+ Saat menggunakan fitur seperti UPP dan HomeFolders, WorkSpaces Aplikasi dapat membuat dan mengelola bucket Amazon S3, objek dan siklus hidup, kebijakan, dan konfigurasi enkripsi di akun. Ember ini mencakup awalan penamaan berikut:
  + `"arn:aws:s3:::appstream2-36fb080bb8-",`
  + `"arn:aws:s3:::appstream-app-settings-",`
  + `"arn:aws:s3:::appstream-logs-"`
Untuk melihat izin kebijakan ini, lihat [AmazonAppStreamServiceAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamServiceAccess.html).

**ApplicationAutoScalingForAmazonAppStreamAccess**  
Kebijakan terkelola ini memungkinkan penskalaan otomatis aplikasi untuk Aplikasi. WorkSpaces   
Untuk melihat izin kebijakan ini, lihat [ApplicationAutoScalingForAmazonAppStreamAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ApplicationAutoScalingForAmazonAppStreamAccess.html).

**AWSApplicationAutoscalingAppStreamFleetPolicy**  
Kebijakan terkelola ini memberikan izin untuk Application Auto Scaling untuk WorkSpaces mengakses Aplikasi dan. CloudWatch   
Untuk melihat izin kebijakan ini, lihat [AWSApplicationAutoscalingAppStreamFleetPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSApplicationAutoscalingAppStreamFleetPolicy.html).

## WorkSpaces Pembaruan aplikasi ke kebijakan AWS terkelola
<a name="security-iam-awsmanpol-updates"></a>



Lihat detail tentang pembaruan kebijakan AWS terkelola untuk WorkSpaces Aplikasi sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan ke umpan RSS pada halaman [Riwayat Dokumen untuk WorkSpaces Aplikasi Amazon](doc-history.md).




| Perubahan | Deskripsi | Date | 
| --- | --- | --- | 
|  AmazonAppStreamServiceAccess — Ubah  |   Menambahkan izin izin `"ec2:DescribeImages"` untuk dokumen kebijakan JSON kebijakan  | November 17, 2025 | 
|  AmazonAppStreamReadOnlyAccess — Ubah  |   Dihapus `"appstream:Get*",` dari dokumen kebijakan JSON  | Oktober 22, 2025 | 
|  WorkSpaces Aplikasi mulai melacak perubahan  |  WorkSpaces Aplikasi mulai melacak perubahan untuk kebijakan yang AWS dikelola  | 31 Oktober 2022 | 

# Peran yang Diperlukan untuk WorkSpaces Aplikasi, Application Auto Scaling, dan AWS Certificate Manager Private CA
<a name="roles-required-for-appstream"></a>

Di AWS, peran IAM digunakan untuk memberikan izin ke AWS layanan sehingga dapat mengakses AWS sumber daya. Kebijakan yang melekat pada peran menentukan AWS sumber daya mana yang dapat diakses oleh layanan dan apa yang dapat dilakukannya dengan sumber daya tersebut. Untuk WorkSpaces Aplikasi, selain memiliki izin yang ditentukan dalam **AmazonAppStreamFullAccess**kebijakan, Anda juga harus memiliki peran berikut di AWS akun Anda.

**Topics**
+ [

## AmazonAppStreamServiceAccess
](#AmazonAppStreamServiceAccess)
+ [

## ApplicationAutoScalingForAmazonAppStreamAccess
](#ApplicationAutoScalingForAmazonAppStreamAccess)
+ [

## AWSServiceRoleForApplicationAutoScaling\$1AppStreamFleet
](#AWSServiceRoleForApplicationAutoScaling_AppStreamFleet)
+ [

## AmazonAppStreamPCAAccess
](#AppStreamPCAAccess)

## AmazonAppStreamServiceAccess
<a name="AmazonAppStreamServiceAccess"></a>

Peran ini adalah peran layanan yang dibuat untuk Anda secara otomatis saat Anda memulai WorkSpaces Aplikasi di AWS Wilayah. Untuk informasi selengkapnya tentang peran layanan, lihat [Membuat peran untuk mendelegasikan izin ke AWS layanan di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) Pengguna *IAM*.

Saat sumber daya WorkSpaces Aplikasi sedang dibuat, layanan WorkSpaces Aplikasi membuat panggilan API ke AWS layanan lain atas nama Anda dengan mengambil peran ini. Untuk membuat armada, Anda harus memiliki peran ini di akun Anda. Jika peran ini tidak ada di AWS akun Anda dan izin IAM yang diperlukan serta kebijakan hubungan kepercayaan tidak dilampirkan, Anda tidak dapat membuat armada WorkSpaces Aplikasi.

Untuk informasi selengkapnya, lihat [Memeriksa Peran dan Kebijakan AmazonAppStreamServiceAccess Layanan](controlling-access-checking-for-iam-service-access.md) untuk memeriksa apakah peran **AmazonAppStreamServiceAccess**layanan ada dan memiliki kebijakan yang benar dilampirkan. 

**catatan**  
Peran layanan ini dapat memiliki izin yang berbeda dari pengguna pertama yang memulai dengan WorkSpaces Aplikasi. Untuk detail tentang izin peran ini, lihat “AmazonAppStreamServiceAccess” di[AWS Kebijakan Terkelola yang Diperlukan untuk Mengakses Sumber Daya WorkSpaces Aplikasi](managed-policies-required-to-access-appstream-resources.md).

## ApplicationAutoScalingForAmazonAppStreamAccess
<a name="ApplicationAutoScalingForAmazonAppStreamAccess"></a>

Peran ini adalah peran layanan yang dibuat untuk Anda secara otomatis saat Anda memulai WorkSpaces Aplikasi di AWS Wilayah. Untuk informasi selengkapnya tentang peran layanan, lihat [Membuat peran untuk mendelegasikan izin ke AWS layanan di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) Pengguna *IAM*.

Penskalaan otomatis adalah fitur armada WorkSpaces Aplikasi. Untuk mengonfigurasi kebijakan penskalaan, Anda harus memiliki peran layanan ini di AWS akun Anda. Jika peran layanan ini tidak ada di AWS akun Anda dan izin IAM serta kebijakan hubungan kepercayaan yang diperlukan tidak dilampirkan, Anda tidak dapat menskalakan armada WorkSpaces Aplikasi.

Untuk informasi selengkapnya, lihat [Memeriksa Peran dan Kebijakan ApplicationAutoScalingForAmazonAppStreamAccess Layanan](controlling-access-checking-for-iam-autoscaling.md).

## AWSServiceRoleForApplicationAutoScaling\$1AppStreamFleet
<a name="AWSServiceRoleForApplicationAutoScaling_AppStreamFleet"></a>

Peran ini adalah peran terkait layanan yang dibuat untuk Anda secara otomatis. Untuk informasi selengkapnya, lihat [Peran terkait layanan di Panduan](https://docs.aws.amazon.com/autoscaling/application/userguide/application-auto-scaling-service-linked-roles.html) Pengguna *Application Auto Scaling*.

Application Auto Scaling menggunakan peran terkait layanan untuk melakukan penskalaan otomatis atas nama Anda. *Peran terkait layanan adalah peran* IAM yang ditautkan langsung ke layanan. AWS Peran ini mencakup semua izin yang diperlukan layanan untuk memanggil AWS layanan lain atas nama Anda.

Untuk informasi selengkapnya, lihat [Memeriksa `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` Peran dan Kebijakan Terkait Layanan](controlling-access-checking-for-iam-service-linked-role-application-autoscaling-appstream-fleet.md).

## AmazonAppStreamPCAAccess
<a name="AppStreamPCAAccess"></a>

Peran ini adalah peran layanan yang dibuat untuk Anda secara otomatis saat Anda memulai WorkSpaces Aplikasi di AWS Wilayah. Untuk informasi selengkapnya tentang peran layanan, lihat [Membuat peran untuk mendelegasikan izin ke AWS layanan di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) Pengguna *IAM*.

Otentikasi berbasis sertifikat adalah fitur armada WorkSpaces Aplikasi yang bergabung dengan domain Microsoft Active Directory. Untuk mengaktifkan dan menggunakan otentikasi berbasis sertifikat, Anda harus memiliki peran layanan ini di akun Anda. AWS Jika peran layanan ini tidak ada di AWS akun Anda dan izin IAM serta kebijakan hubungan kepercayaan yang diperlukan tidak dilampirkan, Anda tidak dapat mengaktifkan atau menggunakan otentikasi berbasis sertifikat.

Untuk informasi selengkapnya, lihat [Memeriksa Peran dan Kebijakan AmazonAppStream PCAAccess Layanan](controlling-access-checking-for-AppStreamPCAAccess.md).

# Memeriksa Peran dan Kebijakan AmazonAppStreamServiceAccess Layanan
<a name="controlling-access-checking-for-iam-service-access"></a>

Selesaikan langkah-langkah di bagian ini untuk memeriksa apakah peran **AmazonAppStreamServiceAccess**layanan ada dan memiliki kebijakan yang benar terlampir. Jika peran ini tidak ada di akun Anda dan harus dibuat, Anda atau administrator dengan izin yang diperlukan harus melakukan langkah-langkah untuk memulai WorkSpaces Aplikasi di akun Amazon Web Services Anda.

**Untuk memeriksa apakah peran layanan AmazonAppStreamServiceAccess IAM hadir**

1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, pilih **Peran**. 

1. Di kotak pencarian, ketik **amazonappstreamservice** untuk mempersempit daftar peran yang akan dipilih, lalu pilih. **AmazonAppStreamServiceAccess** Jika peran ini terdaftar, pilih untuk melihat halaman **Ringkasan** peran. 

1. Pada tab **Izin**, konfirmasikan apakah kebijakan **AmazonAppStreamServiceAccess**izin dilampirkan.

1. Kembali ke halaman **Ringkasan** peran.

1. Pada tab **Hubungan kepercayaan**, pilih **Tampilkan dokumen kebijakan**, lalu konfirmasikan apakah kebijakan hubungan **AmazonAppStreamServiceAccess**kepercayaan dilampirkan dan ikuti format yang benar. Jika demikian, hubungan kepercayaan dikonfigurasi dengan benar. Pilih **Batal** dan tutup konsol IAM. 

## AmazonAppStreamServiceAccess kebijakan hubungan kepercayaan
<a name="controlling-access-service-access-trust-policy"></a>

Kebijakan hubungan **AmazonAppStreamServiceAccess**kepercayaan harus mencakup layanan WorkSpaces Aplikasi sebagai prinsipal. *Principal* adalah entitas AWS yang dapat melakukan tindakan dan mengakses sumber daya. Kebijakan ini juga harus mencakup `sts:AssumeRole` tindakan. Konfigurasi kebijakan berikut mendefinisikan WorkSpaces Aplikasi sebagai entitas tepercaya.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
      "Service": "appstream.amazonaws.com"
    },
    "Action": "sts:AssumeRole"
    }
  ]
}
```

------

# Memeriksa Peran dan Kebijakan ApplicationAutoScalingForAmazonAppStreamAccess Layanan
<a name="controlling-access-checking-for-iam-autoscaling"></a>

Selesaikan langkah-langkah di bagian ini untuk memeriksa apakah peran **ApplicationAutoScalingForAmazonAppStreamAccess**layanan ada dan memiliki kebijakan yang benar terlampir. Jika peran ini tidak ada di akun Anda dan harus dibuat, Anda atau administrator dengan izin yang diperlukan harus melakukan langkah-langkah untuk memulai WorkSpaces Aplikasi di akun Amazon Web Services Anda.

**Untuk memeriksa apakah peran layanan ApplicationAutoScalingForAmazonAppStreamAccess IAM hadir**

1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, pilih **Peran**. 

1. Di kotak pencarian, ketik **applicationautoscaling** untuk mempersempit daftar peran yang akan dipilih, lalu pilih. **ApplicationAutoScalingForAmazonAppStreamAccess** Jika peran ini terdaftar, pilih untuk melihat halaman **Ringkasan** peran. 

1. Pada tab **Izin**, konfirmasikan apakah kebijakan **ApplicationAutoScalingForAmazonAppStreamAccess**izin dilampirkan. 

1. Kembali ke halaman **Ringkasan** peran.

1. Pada tab **Hubungan kepercayaan**, pilih **Tampilkan dokumen kebijakan**, lalu konfirmasikan apakah kebijakan hubungan **ApplicationAutoScalingForAmazonAppStreamAccess**kepercayaan dilampirkan dan ikuti format yang benar. Jika demikian, hubungan kepercayaan dikonfigurasi dengan benar. Pilih **Batal** dan tutup konsol IAM. 

## ApplicationAutoScalingForAmazonAppStreamAccesskebijakan hubungan kepercayaan
<a name="controlling-access-autoscaling-trust-policy"></a>

Kebijakan hubungan **ApplicationAutoScalingForAmazonAppStreamAccess**kepercayaan harus menyertakan layanan Application Auto Scaling sebagai prinsipal. Kebijakan ini juga harus mencakup `sts:AssumeRole` tindakan. Konfigurasi kebijakan berikut mendefinisikan Application Auto Scaling sebagai entitas tepercaya.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "application-autoscaling.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

------

# Memeriksa `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` Peran dan Kebijakan Terkait Layanan
<a name="controlling-access-checking-for-iam-service-linked-role-application-autoscaling-appstream-fleet"></a>

Selesaikan langkah-langkah di bagian ini untuk memeriksa apakah peran `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` terkait layanan ada dan memiliki kebijakan yang benar terlampir. Jika peran ini tidak ada di akun Anda dan harus dibuat, Anda atau administrator dengan izin yang diperlukan harus melakukan langkah-langkah untuk memulai WorkSpaces Aplikasi di akun Amazon Web Services Anda.

**Untuk memeriksa apakah peran terkait layanan `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` IAM ada**

1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, pilih **Peran**. 

1. Di kotak pencarian, ketik **applicationautoscaling** untuk mempersempit daftar peran yang akan dipilih, lalu pilih. `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` Jika peran ini terdaftar, pilih untuk melihat halaman **Ringkasan** peran. 

1. Pada tab **Izin**, konfirmasikan apakah kebijakan `AWSApplicationAutoscalingAppStreamFleetPolicy` izin dilampirkan.

1. Kembali ke halaman ringkasan **Peran**.

1. Pada tab **Hubungan kepercayaan**, pilih **Tampilkan dokumen kebijakan**, lalu konfirmasikan apakah kebijakan hubungan `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` kepercayaan dilampirkan dan ikuti format yang benar. Jika demikian, hubungan kepercayaan dikonfigurasi dengan benar. Pilih **Batal** dan tutup konsol IAM. 

## AWSServiceRoleForApplicationAutoScaling\$1AppStreamFleet kebijakan hubungan kepercayaan
<a name="controlling-access-application-autoscaling-appstream-fleet-trust-policy"></a>

Kebijakan hubungan `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` kepercayaan harus menyertakan **appstream.application-autoscaling.amazonaws.com** sebagai prinsipal. Kebijakan ini juga harus mencakup `sts:AssumeRole` tindakan. Konfigurasi kebijakan berikut mendefinisikan **appstream.application-autoscaling.amazonaws.com** sebagai entitas tepercaya.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "appstream.application-autoscaling.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

------

# Memeriksa Peran dan Kebijakan AmazonAppStream PCAAccess Layanan
<a name="controlling-access-checking-for-AppStreamPCAAccess"></a>

Selesaikan langkah-langkah di bagian ini untuk memeriksa apakah peran **AmazonAppStreamPCAAccess**layanan ada dan memiliki kebijakan yang benar terlampir. Jika peran ini tidak ada di akun Anda dan harus dibuat, Anda atau administrator dengan izin yang diperlukan harus melakukan langkah-langkah untuk memulai WorkSpaces Aplikasi di akun Amazon Web Services Anda.

**Untuk memeriksa apakah peran layanan AmazonAppStream PCAAccess IAM hadir**

1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, pilih **Peran**. 

1. Di kotak pencarian, ketik **appstreampca** untuk mempersempit daftar peran yang akan dipilih, lalu pilih. **AmazonAppStreamPCAAccess** Jika peran ini terdaftar, pilih untuk melihat halaman **Ringkasan** peran. 

1. Pada tab **Izin**, konfirmasikan apakah kebijakan **AmazonAppStreamPCAAccess **izin dilampirkan.

1. Kembali ke halaman ringkasan **Peran**.

1. Pada tab **Hubungan kepercayaan**, pilih **Tampilkan dokumen kebijakan**, lalu konfirmasikan apakah kebijakan hubungan **AmazonAppStreamPCAAccess **kepercayaan dilampirkan dan ikuti format yang benar. Jika demikian, hubungan kepercayaan dikonfigurasi dengan benar. Pilih **Batal** dan tutup konsol IAM. 

## AmazonAppStreamPCAAccess kebijakan hubungan kepercayaan
<a name="controlling-access-amazonappstreampcaaccess-trust-policy"></a>

Kebijakan hubungan **AmazonAppStreamPCAAccess**kepercayaan harus menyertakan prod.euc.ecm.amazonaws.com sebagai prinsipal. Kebijakan ini juga harus mencakup `sts:AssumeRole` tindakan. Konfigurasi kebijakan berikut mendefinisikan ECM sebagai entitas tepercaya.

**Untuk membuat kebijakan hubungan AmazonAppStream PCAAccess kepercayaan menggunakan AWS CLI**

1. Buat file JSON bernama `AmazonAppStreamPCAAccess.json` dengan teks berikut.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "Service": [
                       "prod.euc.ecm.amazonaws.com"
                   ]
               },
               "Action": "sts:AssumeRole",
               "Condition": {}
           }
       ]
   }
   ```

------

1. Sesuaikan `AmazonAppStreamPCAAccess.json` jalur sesuai kebutuhan dan jalankan perintah AWS CLI berikut untuk membuat kebijakan hubungan kepercayaan dan melampirkan kebijakan AmazonAppStream PCAAccess terkelola. Untuk informasi selengkapnya tentang kebijakan terkelola, lihat [AWS Kebijakan Terkelola yang Diperlukan untuk Mengakses Sumber Daya WorkSpaces Aplikasi](managed-policies-required-to-access-appstream-resources.md).

   ```
   aws iam create-role --path /service-role/ --role-name AmazonAppStreamPCAAccess --assume-role-policy-document file://AmazonAppStreamPCAAccess.json
   ```

   ```
   aws iam attach-role-policy —role-name AmazonAppStreamPCAAccess —policy-arn arn:aws:iam::aws:policy/AmazonAppStreamPCAAccess
   ```

# Menggunakan Kebijakan IAM untuk Mengelola Akses Administrator ke Application Auto Scaling
<a name="autoscaling-iam-policy"></a>

Penskalaan otomatis untuk armada dimungkinkan oleh kombinasi Applications CloudWatch, Amazon, dan WorkSpaces Application Auto Scaling. APIs WorkSpaces Armada aplikasi dibuat dengan WorkSpaces Aplikasi, alarm dibuat dengan CloudWatch, dan kebijakan penskalaan dibuat dengan Application Auto Scaling.

Selain memiliki izin yang ditentukan dalam [AmazonAppStreamFullAccess](managed-policies-required-to-access-appstream-resources.md)kebijakan, pengguna IAM yang mengakses pengaturan penskalaan armada harus memiliki izin yang diperlukan untuk layanan yang mendukung penskalaan dinamis. Pengguna IAM harus memiliki izin untuk menggunakan tindakan yang ditunjukkan dalam contoh kebijakan berikut. 

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
          "appstream:*",
          "application-autoscaling:*",
          "cloudwatch:DeleteAlarms",
          "cloudwatch:DescribeAlarmsForMetric",
          "cloudwatch:DisableAlarmActions",
          "cloudwatch:DescribeAlarms",
          "cloudwatch:EnableAlarmActions",
          "cloudwatch:ListMetrics",
          "cloudwatch:PutMetricAlarm",
          "iam:ListRoles"
      ],
      "Resource": "*"
    },
    {
      "Sid": "iamPassRole",
      "Effect": "Allow",
      "Action": [
          "iam:PassRole"
      ],
      "Resource": "*",
      "Condition": {
         "StringEquals": {
             "iam:PassedToService": "application-autoscaling.amazonaws.com"
          }
      }
    }
  ]
}
```

------

Anda juga dapat membuat kebijakan IAM Anda sendiri untuk menetapkan izin yang lebih spesifik untuk panggilan ke Application Auto Scaling API. Untuk informasi selengkapnya, lihat [Autentikasi dan Kontrol Akses](https://docs.aws.amazon.com/autoscaling/application/userguide/auth-and-access-control.html) di *Panduan Pengguna Penskalaan Otomatis Aplikasi*.

# Menggunakan Kebijakan IAM untuk Mengelola Akses Administrator ke Bucket Amazon S3 untuk Folder Rumah dan Persistensi Pengaturan Aplikasi
<a name="s3-iam-policy"></a>

Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kebijakan IAM untuk mengelola akses ke bucket Amazon S3 untuk folder beranda dan persistensi setelan aplikasi.

**Topics**
+ [

# Menghapus Bucket Amazon S3 untuk Folder Rumah dan Persistensi Pengaturan Aplikasi
](s3-iam-policy-delete.md)
+ [

# Membatasi Akses Administrator ke Bucket Amazon S3 untuk Folder Rumah dan Persistensi Pengaturan Aplikasi
](s3-iam-policy-restricted-access.md)

# Menghapus Bucket Amazon S3 untuk Folder Rumah dan Persistensi Pengaturan Aplikasi
<a name="s3-iam-policy-delete"></a>

WorkSpaces Aplikasi menambahkan kebijakan bucket Amazon S3 ke bucket yang dibuatnya untuk mencegahnya terhapus secara tidak sengaja. Untuk menghapus bucket S3, Anda harus menghapus kebijakan bucket S3 terlebih dahulu. Berikut ini adalah kebijakan bucket yang harus Anda hapus untuk folder beranda dan persistensi pengaturan aplikasi.

**Kebijakan folder rumah**

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "PreventAccidentalDeletionOfBucket",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:DeleteBucket",
      "Resource": "arn:aws:s3:::appstream2-36fb080bb8-region-code-123456789012-without-hyphens"
    }
  ]
}
```

------

**Kebijakan ketekunan pengaturan aplikasi**

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "PreventAccidentalDeletionOfBucket",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:DeleteBucket",
      "Resource": "arn:aws:s3:::appstream-app-settings-region-code-123456789012-without-hyphens-unique-identifier"
     }
   ]
}
```

------

 Untuk informasi selengkapnya, lihat [Menghapus atau Mengosongkan Bucket di Panduan](https://docs.aws.amazon.com/AmazonS3/latest/userguide/delete-or-empty-bucket.html) Pengguna *Layanan Penyimpanan Sederhana Amazon*.

# Membatasi Akses Administrator ke Bucket Amazon S3 untuk Folder Rumah dan Persistensi Pengaturan Aplikasi
<a name="s3-iam-policy-restricted-access"></a>

Secara default, administrator yang dapat mengakses bucket Amazon S3 yang dibuat WorkSpaces oleh Aplikasi dapat melihat dan memodifikasi konten yang merupakan bagian dari folder beranda pengguna dan pengaturan aplikasi persisten. Untuk membatasi akses administrator ke bucket S3 yang berisi file pengguna, sebaiknya terapkan kebijakan akses bucket S3 berdasarkan templat berikut: 

```
{
  "Sid": "RestrictedAccess",
  "Effect": "Deny",
  "NotPrincipal": 
  {
    "AWS": [
      "arn:aws:iam::account:role/service-role/AmazonAppStreamServiceAccess",
      "arn:aws:sts::account:assumed-role/AmazonAppStreamServiceAccess/PhotonSession",
      "arn:aws:iam::account:user/IAM-user-name"
    ]
  },
    "Action": "s3:*",
    "Resource": "arn:aws:s3:::home-folder-or-application-settings-persistence-s3-bucket-region-account"
  }
 ]
}
```

Kebijakan ini memungkinkan akses bucket S3 hanya untuk pengguna yang ditentukan dan ke layanan WorkSpaces Aplikasi. Untuk setiap pengguna IAM yang seharusnya memiliki akses, replikasi baris berikut:

```
"arn:aws:iam::account:user/IAM-user-name"
```

Dalam contoh berikut, kebijakan membatasi akses ke bucket S3 folder beranda untuk siapa pun selain pengguna IAM marymajor dan johnstiles. Ini juga memungkinkan akses ke layanan WorkSpaces Aplikasi, di AWS Wilayah AS Barat (Oregon) untuk ID akun 123456789012.

```
{
  "Sid": "RestrictedAccess",
  "Effect": "Deny",
  "NotPrincipal": 
  {
    "AWS": [
      "arn:aws:iam::123456789012:role/service-role/AmazonAppStreamServiceAccess",
      "arn:aws:sts::123456789012:assumed-role/AmazonAppStreamServiceAccess/PhotonSession",
      "arn:aws:iam::123456789012:user/marymajor",
      "arn:aws:iam::123456789012:user/johnstiles"
    ]
  },
    "Action": "s3:*",
    "Resource": "arn:aws:s3:::appstream2-36fb080bb8-us-west-2-123456789012"
  }
 ]
}
```

# Menggunakan Peran IAM untuk Memberikan Izin ke Aplikasi dan Skrip yang Berjalan pada WorkSpaces Instans Streaming Aplikasi
<a name="using-iam-roles-to-grant-permissions-to-applications-scripts-streaming-instances"></a>

Aplikasi dan skrip yang berjalan pada instance streaming WorkSpaces Aplikasi harus menyertakan AWS kredensyal dalam permintaan API mereka. AWS Anda dapat membuat peran IAM untuk mengelola kredensil ini. Peran IAM menentukan sekumpulan izin yang dapat Anda gunakan untuk mengakses sumber daya. AWS Namun, peran ini tidak terkait secara unik dengan satu orang. Sebaliknya, dapat diasumsikan oleh siapa saja yang membutuhkannya.

Anda dapat menerapkan peran IAM ke instance streaming WorkSpaces Aplikasi. Saat instance streaming beralih ke (mengasumsikan) peran, peran tersebut memberikan kredensyal keamanan sementara. Aplikasi atau skrip Anda menggunakan kredensyal ini untuk melakukan tindakan API dan tugas manajemen pada instance streaming. WorkSpaces Aplikasi mengelola sakelar kredensyal sementara untuk Anda.

**Topics**
+ [

# Praktik Terbaik untuk Menggunakan Peran IAM Dengan Instans Streaming WorkSpaces Aplikasi
](best-practices-for-using-iam-role-with-streaming-instances.md)
+ [

# Mengkonfigurasi Peran IAM yang Ada untuk Digunakan Dengan Instans Streaming WorkSpaces Aplikasi
](configuring-existing-iam-role-to-use-with-streaming-instances.md)
+ [

# Cara Membuat Peran IAM untuk Digunakan Dengan Instans Streaming WorkSpaces Aplikasi
](how-to-create-iam-role-to-use-with-streaming-instances.md)
+ [

# Cara Menggunakan Peran IAM Dengan Instans Streaming WorkSpaces Aplikasi
](how-to-use-iam-role-with-streaming-instances.md)

# Praktik Terbaik untuk Menggunakan Peran IAM Dengan Instans Streaming WorkSpaces Aplikasi
<a name="best-practices-for-using-iam-role-with-streaming-instances"></a>

Saat Anda menggunakan peran IAM dengan instans streaming WorkSpaces Aplikasi, kami sarankan Anda mengikuti praktik berikut:
+ Batasi izin yang Anda berikan untuk tindakan dan sumber daya AWS API.

  Ikuti prinsip hak istimewa paling sedikit saat Anda membuat dan melampirkan kebijakan IAM ke peran IAM yang terkait dengan instans streaming WorkSpaces Aplikasi. Saat Anda menggunakan aplikasi atau skrip yang memerlukan akses ke tindakan atau sumber daya AWS API, tentukan tindakan dan sumber daya spesifik yang diperlukan. Kemudian, buat kebijakan yang memungkinkan aplikasi atau skrip hanya melakukan tindakan tersebut. Untuk informasi lebih lanjut, lihat [Berikan hak istimewa terkecil](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) dalam *Panduan Pengguna IAM*.
+ Buat peran IAM untuk setiap sumber daya WorkSpaces Aplikasi.

  Membuat peran IAM yang unik untuk setiap sumber daya WorkSpaces Aplikasi adalah praktik yang mengikuti prinsip hak istimewa paling sedikit. Melakukannya juga memungkinkan Anda mengubah izin untuk sumber daya tanpa memengaruhi sumber daya lainnya.
+ Batasi di mana kredensil dapat digunakan.

  Kebijakan IAM memungkinkan Anda menentukan kondisi di mana peran IAM Anda dapat digunakan untuk mengakses sumber daya. Misalnya, Anda dapat menyertakan kondisi untuk menentukan rentang alamat IP tempat permintaan dapat berasal. Melakukannya mencegah kredensyal digunakan di luar lingkungan Anda. Untuk informasi selengkapnya, lihat [Menggunakan Ketentuan Kebijakan untuk Keamanan Ekstra](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#use-policy-conditions) di *Panduan Pengguna IAM*.

# Mengkonfigurasi Peran IAM yang Ada untuk Digunakan Dengan Instans Streaming WorkSpaces Aplikasi
<a name="configuring-existing-iam-role-to-use-with-streaming-instances"></a>

Topik ini menjelaskan cara mengonfigurasi peran IAM yang ada sehingga Anda dapat menggunakannya dengan pembuat gambar dan instance streaming armada.

**Prasyarat**

Peran IAM yang ingin Anda gunakan dengan pembuat gambar WorkSpaces Aplikasi atau instance streaming armada harus memenuhi prasyarat berikut:
+ Peran IAM harus berada di akun Amazon Web Services yang sama dengan instans streaming WorkSpaces Aplikasi.
+ Peran IAM tidak dapat menjadi peran layanan.
+ Kebijakan hubungan kepercayaan yang dilampirkan pada peran IAM harus mencakup layanan WorkSpaces Aplikasi sebagai prinsipal. *Principal* adalah entitas AWS yang dapat melakukan tindakan dan mengakses sumber daya. Kebijakan juga harus mencakup `sts:AssumeRole` tindakan. Konfigurasi kebijakan ini mendefinisikan WorkSpaces Aplikasi sebagai entitas tepercaya.

  
+ Jika Anda menerapkan peran IAM ke pembuat gambar, pembuat gambar harus menjalankan versi agen WorkSpaces Aplikasi yang dirilis pada atau setelah 3 September 2019. Jika Anda menerapkan peran IAM ke armada, armada harus menggunakan gambar yang menggunakan versi agen yang dirilis pada atau setelah tanggal yang sama. Untuk informasi selengkapnya, lihat [WorkSpaces Catatan Rilis Agen Aplikasi](agent-software-versions.md). 

**Untuk mengaktifkan prinsipal layanan WorkSpaces Aplikasi untuk mengambil peran IAM yang ada**

Untuk melakukan langkah-langkah berikut, Anda harus masuk ke akun sebagai pengguna IAM yang memiliki izin yang diperlukan untuk membuat daftar dan memperbarui peran IAM. Jika Anda tidak memiliki izin yang diperlukan, minta administrator akun Amazon Web Services Anda untuk melakukan langkah-langkah ini di akun Anda atau memberi Anda izin yang diperlukan.

1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, pilih **Peran**. 

1. Dalam daftar peran di akun Anda, pilih nama peran yang ingin Anda ubah.

1. Pilih tab **Hubungan kepercayaan**, dan kemudian pilih**Ubah hubungan kepercayaan**.

1. Di bawah **Dokumen Kebijakan**, verifikasi bahwa kebijakan hubungan kepercayaan mencakup `sts:AssumeRole` tindakan untuk kepala `appstream.amazonaws.com` layanan:

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "Service": [
             "appstream.amazonaws.com"
           ]
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   ```

------

1. Setelah selesai mengubah kebijakan kepercayaan, pilih **Perbarui Kebijakan Kepercayaan** untuk menyimpan perubahan Anda. 

1. Peran IAM yang Anda pilih akan ditampilkan di konsol WorkSpaces Aplikasi. Peran ini memberikan izin ke aplikasi dan skrip untuk melakukan tindakan API dan tugas manajemen pada instance streaming.

# Cara Membuat Peran IAM untuk Digunakan Dengan Instans Streaming WorkSpaces Aplikasi
<a name="how-to-create-iam-role-to-use-with-streaming-instances"></a>

Topik ini menjelaskan cara membuat peran IAM baru sehingga Anda dapat menggunakannya dengan pembuat gambar dan instance streaming armada.

1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, pilih **Peran**, lalu pilih **Buat peran**.

1. Untuk **Pilih tipe entitas tepercaya**, pilih **Layanan AWS **.

1. Dari daftar AWS layanan, pilih **WorkSpaces Aplikasi**.

1. Di bawah **Pilih kasus penggunaan Anda**, **WorkSpaces Aplikasi — Memungkinkan instans WorkSpaces Aplikasi untuk memanggil AWS layanan atas nama Anda** sudah dipilih. Pilih **Berikutnya: Izin**.

1. Jika memungkinkan, pilih kebijakan yang akan digunakan untuk kebijakan izin atau pilih **Buat kebijakan** untuk membuka tab browser baru dan membuat kebijakan baru dari awal. Untuk informasi selengkapnya, lihat langkah 4 dalam prosedur [Membuat Kebijakan IAM (Konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start) di *Panduan Pengguna IAM*.

   Setelah Anda membuat kebijakan, tutup tab tersebut dan kembali ke tab asli Anda. Pilih kotak centang di samping kebijakan izin yang ingin dimiliki WorkSpaces Aplikasi.

1. (Opsional) Tetapkan batas izin. Ini adalah fitur lanjutan yang tersedia untuk peran layanan, tetapi bukan peran tertaut layanan. Untuk informasi selengkapnya, lihat [Batas Izin untuk Entitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) di Panduan Pengguna *IAM*.

1. Pilih **Berikutnya: Tanda**. Anda dapat secara opsional melampirkan tag sebagai pasangan nilai kunci. Untuk informasi selengkapnya, lihat [Menandai Pengguna dan Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) di Panduan Pengguna *IAM*.

1. Pilih **Berikutnya: Tinjauan**.

1. Untuk **nama Peran**, ketikkan nama peran yang unik dalam akun Amazon Web Services Anda. Karena AWS sumber daya lain mungkin mereferensikan peran, Anda tidak dapat mengedit nama peran setelah dibuat.

1. Untuk **deskripsi Peran**, simpan deskripsi peran default atau ketik yang baru.

1. Tinjau peran lalu pilih **Buat peran**.

# Cara Menggunakan Peran IAM Dengan Instans Streaming WorkSpaces Aplikasi
<a name="how-to-use-iam-role-with-streaming-instances"></a>

Setelah membuat peran IAM, Anda dapat menerapkannya ke pembuat gambar atau instance streaming armada saat meluncurkan pembuat gambar atau membuat armada. Anda juga dapat menerapkan peran IAM ke armada yang ada. Untuk informasi tentang cara menerapkan peran IAM saat Anda meluncurkan pembuat gambar, lihat[Luncurkan Image Builder untuk Menginstal dan Mengkonfigurasi Aplikasi Streaming](tutorial-image-builder-create.md). Untuk informasi tentang cara menerapkan peran IAM saat Anda membuat armada, lihat[Buat Armada di WorkSpaces Aplikasi Amazon](set-up-stacks-fleets-create.md).

Saat Anda menerapkan peran IAM ke pembuat gambar atau instance streaming armada, WorkSpaces Aplikasi mengambil kredensi sementara dan membuat profil kredensi **appstream\$1machine\$1role** pada instance. Kredensyal sementara berlaku selama 1 jam, dan kredensyal baru diambil setiap jam. Kredensyal sebelumnya tidak kedaluwarsa, sehingga Anda dapat menggunakannya selama valid. Anda dapat menggunakan profil kredensi untuk memanggil AWS layanan secara terprogram dengan menggunakan AWS Command Line Interface (AWS CLI), AWS Tools for PowerShell, atau AWS SDK dengan bahasa pilihan Anda.

Saat Anda melakukan panggilan API, tentukan **appstream\$1machine\$1role** sebagai profil kredensyal. Jika tidak, operasi gagal karena izin yang tidak mencukupi.

WorkSpaces Aplikasi mengasumsikan peran yang ditentukan saat instance streaming disediakan. Karena WorkSpaces Aplikasi menggunakan elastic network interface yang terpasang ke VPC Anda untuk panggilan AWS API, aplikasi atau skrip Anda harus menunggu elastis network interface tersedia sebelum melakukan panggilan AWS API. Jika panggilan API dilakukan sebelum elastic network interface tersedia, panggilan akan gagal.

Contoh berikut menunjukkan bagaimana Anda dapat menggunakan profil kredenal **appstream\$1machine\$1role** untuk menggambarkan instans streaming (instans EC2) dan untuk membuat klien Boto. Boto adalah Amazon Web Services (AWS) SDK untuk Python. 

**Jelaskan Instans Streaming (instans EC2) dengan Menggunakan CLI AWS **

```
aws ec2 describe-instances --region us-east-1 --profile appstream_machine_role
```

**Jelaskan Instans Streaming (instans EC2) dengan Menggunakan Alat untuk AWS PowerShell**

Anda harus menggunakan AWS Tools untuk PowerShell versi 3.3.563.1 atau yang lebih baru, dengan Amazon Web Services SDK for .NET versi 3.3.103.22 atau yang lebih baru. Anda dapat mengunduh penginstal AWS Alat untuk Windows, yang mencakup AWS Alat untuk PowerShell dan Amazon Web Services SDK untuk.NET, dari [AWS Tools PowerShell](https://aws.amazon.com/powershell/) for website.

```
Get-EC2Instance -Region us-east-1 -ProfileName appstream_machine_role
```

**Membuat Klien Boto dengan Menggunakan AWS SDK untuk Python**

```
session = boto3.Session(profile_name='appstream_machine_role')
```

# SELinux di Red Hat Enterprise Linux dan Rocky Linux
<a name="selinux"></a>

Secara default, Security Enhanced Linux (SELinux) diatur `enabled` ke `enforcing` mode untuk pembuat gambar WorkSpaces Aplikasi dan instans streaming yang didukung oleh Red Hat Enterprise Linux dan Rocky Linux. Dalam `enforcing` mode, penolakan izin diberlakukan. SELinux adalah kumpulan fitur kernel dan utilitas untuk menyediakan arsitektur kontrol akses (MAC) yang kuat, fleksibel, wajib ke subsistem utama kernel.

SELinux menyediakan mekanisme yang disempurnakan untuk menegakkan pemisahan informasi berdasarkan persyaratan kerahasiaan dan integritas. Pemisahan informasi ini mengurangi ancaman gangguan dan melewati mekanisme keamanan aplikasi. Ini juga membatasi kerusakan yang dapat disebabkan oleh aplikasi berbahaya atau cacat.

SELinux mencakup serangkaian contoh file konfigurasi kebijakan keamanan yang dirancang untuk memenuhi tujuan keamanan sehari-hari. Untuk informasi selengkapnya tentang SELinux fitur dan fungsionalitas, lihat [Apa itu SELinux](https://www.redhat.com/en/topics/linux/what-is-selinux)?

# Otentikasi Berbasis Cookie di Aplikasi Amazon WorkSpaces
<a name="cookie-auth"></a>

WorkSpaces Aplikasi menggunakan cookie browser untuk mengautentikasi sesi streaming dan memungkinkan pengguna untuk menyambung kembali ke sesi aktif tanpa memasukkan kembali kredensi masuk mereka setiap saat. Token otentikasi disimpan dalam cookie browser untuk setiap skenario otentikasi. Meskipun cookie diperlukan untuk banyak layanan online, mereka berpotensi rentan terhadap serangan pencurian cookie. Kami sangat menyarankan agar Anda mengambil tindakan proaktif untuk mencegah pencurian cookie, seperti menerapkan solusi perlindungan titik akhir yang kuat untuk perangkat pengguna Anda. Selain itu, untuk mengurangi dampak potensial jika terjadi pencurian cookie, kami menyarankan Anda untuk mempertimbangkan tindakan berikut:
+ **Menerapkan batas sesi tunggal**: Untuk gambar Windows WorkSpaces Aplikasi Anda, buat kunci registri di bawah `HKEY_USERS\S-1-5-18\Software\GSettings\com\nicesoftware\dcv\session-management` dengan nama **max-concurrent-clients**disetel ke 1 untuk hanya mengizinkan satu koneksi pada satu waktu. Ini membatasi jumlah sesi bersamaan menjadi satu, dan memblokir pencerminan sesi aktif. Untuk informasi selengkapnya, lihat [Parameter manajemen sesi](https://docs.aws.amazon.com/dcv/latest/adminguide/config-param-ref.html#session_management).
+ **Menegakkan kedaluwarsa sesi dan otentikasi ulang**
  + Kurangi SessionDuration nilainya sehingga token otentikasi kedaluwarsa setelah pengguna berhasil memulai sesi streaming. Menggunakan kembali cookie otentikasi setelah SessionDuration berakhir mengharuskan pengguna untuk mengautentikasi ulang diri mereka sendiri. SessionDuration menentukan jumlah waktu maksimum sesi streaming federasi untuk pengguna dapat tetap aktif sebelum otentikasi ulang diperlukan. Nilai default adalah 60 menit. Untuk informasi selengkapnya, lihat [Langkah 5: Buat Pernyataan untuk Respons Otentikasi SAMP](external-identity-providers-setting-up-saml.md#external-identity-providers-create-assertions).
  + Untuk membantu memaksimalkan keamanan, pengguna harus mengakhiri sesi dengan benar dengan bilah alat (mengakhiri sesi), alih-alih menutup jendela streaming. Mengakhiri sesi melalui toolbar mengakhiri sesi pengguna dan instance streaming. Ini memerlukan autentikasi ulang untuk akses future, mencegah penyalahgunaan cookie. Jika pengguna menutup jendela streaming tanpa mengakhiri sesi, sesi dan instance tetap aktif untuk periode batas waktu pemutusan yang dapat dikonfigurasi (dalam menit). Batas waktu pemutusan harus berupa angka antara 1 dan 5760, dengan nilai default 15 menit. Untuk mencegah penyalahgunaan sesi tidak aktif, sebaiknya atur batas waktu pemutusan singkat. Untuk informasi selengkapnya, lihat [Buat Armada di WorkSpaces Aplikasi Amazon](set-up-stacks-fleets-create.md).
+ **Batasi akses untuk mengalirkan WorkSpaces aplikasi Aplikasi ke rentang IP Anda**: Kami menyarankan Anda menerapkan kebijakan IAM berbasis IP. Ini memastikan bahwa sesi WorkSpaces Aplikasi hanya dapat diakses dari klien yang alamat IP-nya termasuk dalam rentang IP resmi. Semua upaya koneksi yang dimulai oleh pengguna yang alamat IP kliennya berada di luar jangkauan resmi akan ditolak, bahkan jika mereka menyajikan cookie otentikasi yang valid (berpotensi dicuri dari pengguna). Untuk informasi selengkapnya, lihat [Batasi akses untuk mengalirkan aplikasi Amazon AppStream 2.0 ke rentang IP Anda](https://aws.amazon.com/blogs/desktop-and-application-streaming/limit-access-to-stream-amazon-appstream-2-0-applications-to-your-ip-ranges/).
+ **Tambahkan autentikasi tambahan**: Untuk meluncurkan instans streaming yang bergabung dengan domain, Anda dapat menggabungkan armada Windows dan pembuat gambar WorkSpaces Aplikasi Selalu Aktif dan Sesuai Permintaan ke domain di Microsoft Active Directory, dan menggunakan domain Active Directory yang ada, baik berbasis cloud maupun lokal. Setelah autentikasi berbasis SAML awal, pengguna Anda akan diminta untuk memberikan kredensi domain mereka untuk otentikasi tambahan terhadap domain organisasi. Untuk informasi selengkapnya, lihat [Menggunakan Active Directory dengan WorkSpaces Aplikasi](active-directory.md).

 Jika Anda memiliki masalah atau membutuhkan bantuan, hubungi [AWS Dukungan Pusat](https://console.aws.amazon.com/support/home#/). 

# Logging dan Monitoring di WorkSpaces Aplikasi Amazon
<a name="logging-monitoring-alerting"></a>

Pemantauan adalah bagian penting dalam menjaga keandalan, ketersediaan, dan kinerja WorkSpaces Aplikasi Amazon. Topik ini menjelaskan layanan dan alat yang AWS menyediakan untuk memantau sumber daya WorkSpaces Aplikasi Anda dan menanggapi potensi insiden.

** CloudWatch Alarm Amazon**  
 CloudWatch Alarm Amazon memungkinkan Anda menonton satu metrik selama periode waktu yang Anda tentukan. Jika metrik melebihi ambang batas tertentu, notifikasi akan dikirim ke topik atau AWS Auto Scaling kebijakan Amazon Simple Notification Service. CloudWatch alarm tidak memanggil tindakan yang berada dalam keadaan tertentu. Sebaliknya, negara harus telah berubah dan dipertahankan untuk sejumlah periode tertentu. Untuk informasi selengkapnya, lihat [Memantau Sumber Daya WorkSpaces Aplikasi Amazon](monitoring.md).  
WorkSpaces Aplikasi saat ini tidak dapat dikonfigurasi sebagai target untuk CloudWatch Acara. Untuk daftar layanan yang dapat Anda konfigurasikan sebagai target untuk CloudWatch peristiwa, lihat [Apa itu CloudWatch Acara Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/WhatIsCloudWatchEvents.html).

**AWS CloudTrail**  
AWS CloudTrail menyediakan catatan tindakan yang diambil oleh pengguna, peran, atau AWS layanan dalam WorkSpaces Aplikasi. Catatan ini memungkinkan Anda menentukan permintaan yang dibuat untuk WorkSpaces Aplikasi, alamat IP dari mana permintaan dibuat, siapa yang membuat permintaan, kapan dibuat, dan detail tambahan. Untuk informasi selengkapnya, lihat [Mencatat Panggilan API WorkSpaces Aplikasi Amazon dengan AWS CloudTrail](logging-using-cloudtrail.md). 

**AWS Trusted Advisor**  
AWS Trusted Advisor memeriksa AWS lingkungan Anda dan kemudian merekomendasikan cara untuk menghemat uang, meningkatkan ketersediaan dan kinerja sistem, atau membantu menutup kesenjangan keamanan. Trusted Advisor menggunakan praktik terbaik yang dikumpulkan dari berbagai macam pelanggan. AWS Semua AWS pelanggan memiliki akses ke lima Trusted Advisor cek. Jika Anda memiliki paket dukungan Bisnis atau Perusahaan, Anda dapat melihat semua Trusted Advisor pemeriksaan.  
Saat Anda mengaktifkan [persistensi pengaturan aplikasi](how-it-works-app-settings-persistence.md) atau [folder beranda](home-folders-admin.md) untuk pengguna Anda, data yang dihasilkan oleh pengguna Anda disimpan di bucket Amazon S3. Trusted Advisor berisi pemeriksaan berikut yang terkait dengan Amazon S3:  
+ Konfigurasi pencatatan log bucket Amazon S3.
+ Pemeriksaan keamanan untuk bucket Amazon S3 yang memiliki izin akses terbuka.
+ Pengecekan toleransi kesalahan untuk bucket Amazon S3 yang tidak memiliki Penentuan Versi yang diaktifkan, atau memiliki Penentuan Versi yang ditangguhkan. 
Untuk informasi selengkapnya, lihat [AWS Trusted Advisor](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor.html) di *AWS Dukungan Panduan Pengguna*.

**Log Akses Amazon S3**  
Jika pengguna Anda memiliki data pengaturan aplikasi atau data folder rumah yang disimpan di bucket Amazon S3, pertimbangkan untuk melihat log akses server Amazon S3 untuk memantau akses. Log ini memberikan catatan rinci tentang permintaan yang dibuat ke ember. Log akses server bermanfaat untuk berbagai macam aplikasi. Misalnya, informasi log akses dapat berguna dalam audit keamanan dan akses. Untuk informasi selengkapnya, lihat [Logging Akses Server Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/ServerLogs.html) di *Panduan Pengguna Layanan Penyimpanan Sederhana Amazon*.

**WorkSpaces Laporan Penggunaan Aplikasi**  
Anda dapat berlangganan laporan penggunaan WorkSpaces Aplikasi untuk menerima laporan terperinci tentang bagaimana pengguna Anda menggunakan layanan. Laporan tersebut mencakup berapa lama pengguna melakukan streaming dan aplikasi mana yang mereka luncurkan. Lihat informasi yang lebih lengkap di [WorkSpaces Laporan Penggunaan Aplikasi](configure-usage-reports.md). 

# Validasi Kepatuhan untuk Aplikasi Amazon WorkSpaces
<a name="compliance-validation"></a>

Auditor pihak ketiga menilai keamanan dan kepatuhan WorkSpaces Aplikasi Amazon sebagai bagian dari beberapa program AWS kepatuhan. [https://aws.amazon.com/compliance/hitrust/](https://aws.amazon.com/compliance/hitrust/)

**catatan**  
WorkSpaces Aplikasi mendukung [FIPS 140-2](https://aws.amazon.com/compliance/fips/). Untuk informasi tentang cara menggunakan titik akhir FIPS WorkSpaces Aplikasi untuk penggunaan administratif atau streaming, lihat. [Melindungi Data dalam Transit dengan Titik Akhir FIPS](protecting-data-in-transit-FIPS-endpoints.md)  
WorkSpaces Aplikasi juga sedang menjalani penilaian untuk [Departemen Pertahanan (DoD) Cloud Computing Security Requirements Guide (SRG)](https://aws.amazon.com/compliance/dod/).

Untuk daftar AWS layanan dalam lingkup program kepatuhan tertentu, lihat [AWS Layanan dalam Lingkup oleh AWS Layanan Program Kepatuhan](https://aws.amazon.com/compliance/services-in-scope/) . Untuk informasi umum, lihat [Program Kepatuhan AWS](https://aws.amazon.com/compliance/programs/) .

Anda dapat mengunduh laporan audit pihak ketiga menggunakan AWS Artifact. Untuk informasi selengkapnya, lihat [Mengunduh Laporan di AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .

Tanggung jawab kepatuhan Anda saat menggunakan WorkSpaces Aplikasi ditentukan oleh sensitivitas data Anda, tujuan kepatuhan perusahaan Anda, dan hukum dan peraturan yang berlaku. AWS menyediakan sumber daya berikut untuk membantu kepatuhan:
+ [Panduan Quick Start Keamanan dan Kepatuhan](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance) – Panduan deployment ini membahas pertimbangan arsitektur dan menyediakan langkah–langkah untuk melakukan deployment terhadap lingkungan dasar di AWS yang menjadi fokus keamanan dan kepatuhan.
+ [Arsitektur untuk Whitepaper Keamanan dan Kepatuhan HIPAA — Whitepaper](https://d0.awsstatic.com/whitepapers/compliance/AWS_HIPAA_Compliance_Whitepaper.pdf) ini menjelaskan bagaimana perusahaan dapat menggunakan untuk membuat aplikasi yang sesuai dengan HIPAA. AWS 
+ [AWS Sumber Daya AWS](https://aws.amazon.com/compliance/resources/) — Kumpulan buku kerja dan panduan ini mungkin berlaku untuk industri dan lokasi Anda.
+ [Mengevaluasi Sumber Daya dengan Aturan](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) dalam *Panduan AWS Config Pengembang* — AWS Config Layanan menilai seberapa baik konfigurasi sumber daya Anda mematuhi praktik internal, pedoman industri, dan peraturan.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— AWS Layanan ini memberikan pandangan komprehensif tentang keadaan keamanan Anda di dalamnya AWS yang membantu Anda memeriksa kepatuhan Anda terhadap standar industri keamanan dan praktik terbaik.

# Ketahanan dalam Aplikasi Amazon WorkSpaces
<a name="disaster-recovery-resiliency"></a>

Infrastruktur AWS global dibangun di sekitar AWS Wilayah dan Zona Ketersediaan. Wilayah memberikan beberapa Zona Ketersediaan yang terpisah dan terisolasi secara fisik, yang terkoneksi melalui jaringan latensi rendah, throughput tinggi, dan sangat redundan. Dengan Zona Ketersediaan, Anda dapat merancang serta mengoperasikan aplikasi dan basis data yang secara otomatis melakukan fail over di antara zona tanpa gangguan. Zona Ketersediaan memiliki ketersediaan dan toleransi kesalahan yang lebih baik, dan dapat diskalakan dibandingkan infrastruktur pusat data tunggal atau multi tradisional.

Untuk informasi selengkapnya tentang AWS Wilayah dan Availability Zone, lihat [Infrastruktur AWS Global](https://aws.amazon.com/about-aws/global-infrastructure/).

# Keamanan Infrastruktur di WorkSpaces Aplikasi Amazon
<a name="infrastructure-security"></a>

Sebagai layanan terkelola, WorkSpaces Aplikasi Amazon dilindungi oleh keamanan jaringan AWS global. Untuk informasi tentang layanan AWS keamanan dan cara AWS melindungi infrastruktur, lihat [Keamanan AWS Cloud](https://aws.amazon.com/security/). Untuk mendesain AWS lingkungan Anda menggunakan praktik terbaik untuk keamanan infrastruktur, lihat [Perlindungan Infrastruktur dalam Kerangka Kerja](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) yang * AWS Diarsiteksikan dengan Baik Pilar Keamanan*.

Anda menggunakan panggilan API yang AWS dipublikasikan untuk mengakses WorkSpaces Aplikasi melalui jaringan. Klien harus mendukung hal-hal berikut:
+ Keamanan Lapisan Pengangkutan (TLS). Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
+ Sandi cocok dengan sistem kerahasiaan maju sempurna (perfect forward secrecy, PFS) seperti DHE (Ephemeral Diffie-Hellman) atau ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Sebagian besar sistem modern seperti Java 7 dan versi lebih baru mendukung mode-mode ini.

Topik berikut memberikan informasi tambahan tentang keamanan infrastruktur WorkSpaces Aplikasi.

**Topics**
+ [

# Isolasi Jaringan
](network-isolation.md)
+ [

# Isolasi pada Host Fisik
](physical-isolation.md)
+ [

# Mengontrol Lalu Lintas Jaringan
](control-network-traffic.md)
+ [

# WorkSpaces Antarmuka Aplikasi VPC Endpoint
](interface-vpc-endpoints.md)
+ [

# Melindungi Data dalam Transit dengan Titik Akhir FIPS
](protecting-data-in-transit-FIPS-endpoints.md)

# Isolasi Jaringan
<a name="network-isolation"></a>

Cloud Privat Virtual (VPC) adalah jaringan virtual dalam area Anda yang diisolasi secara logika dalam Amazon Web Services Cloud. Gunakan terpisah VPCs untuk mengisolasi infrastruktur berdasarkan beban kerja atau entitas organisasi.

 subnet adalah serangkaian alamat IP di VPC. Saat Anda meluncurkan instans, Anda meluncurkan instans tersebut ke dalam subnet dalam VPC Anda. Gunakan subnet untuk melakukan isolasi terhadap jenjang-jenjang aplikasi Anda (misalnya web, aplikasi, dan basis data) dalam satu VPC. Gunakan subnet privat untuk instans Anda jika instan tersebut tidak dapat diakses secara langsung dari internet.

Anda dapat melakukan streaming dari instance streaming WorkSpaces Aplikasi di VPC Anda tanpa melalui internet publik. Untuk melakukannya, gunakan antarmuka VPC endpoint (interface endpoint). Untuk informasi selengkapnya, lihat [Tutorial: Membuat dan Streaming dari Titik Akhir VPC Antarmuka](creating-streaming-from-interface-vpc-endpoints.md).

Anda juga dapat memanggil operasi WorkSpaces Applications API dari VPC Anda tanpa mengirim lalu lintas melalui internet publik dengan menggunakan endpoint antarmuka. Untuk informasi, lihat [Akses WorkSpaces Aplikasi Operasi API dan Perintah CLI Melalui Antarmuka VPC Endpoint](access-api-cli-through-interface-vpc-endpoint.md).

# Isolasi pada Host Fisik
<a name="physical-isolation"></a>

Instans streaming yang berbeda pada host fisik yang sama diisolasi satu sama lain seolah-olah mereka berada di host fisik yang terpisah. Hypervisor mengisolasi CPU dan memori, dan instans disediakan dalam bentuk disk virtual, bukan berupa akses ke perangkat disk mentah.

Saat Anda menghentikan atau menghentikan instance streaming, memori yang dialokasikan untuk itu digosok (artinya, disetel ke nol) oleh hypervisor sebelum dialokasikan ke instance baru, dan setiap blok penyimpanan diatur ulang. Ini memastikan bahwa data Anda tidak terpapar ke instance lain. 

# Mengontrol Lalu Lintas Jaringan
<a name="control-network-traffic"></a>

Untuk membantu mengontrol lalu lintas jaringan ke instans streaming WorkSpaces Aplikasi Anda, pertimbangkan opsi ini:
+ Saat meluncurkan instans AppStream streaming Amazon, Anda meluncurkannya ke subnet di VPC Anda. Anda dapat menyebarkan instance streaming di subnet pribadi jika tidak dapat diakses dari internet.
+ Untuk menyediakan akses internet ke instans streaming Anda di subnet pribadi, gunakan gateway NAT. Untuk informasi selengkapnya, lihat [Konfigurasikan VPC dengan Subnet Pribadi dan Gateway NAT](managing-network-internet-NAT-gateway.md).
+ Grup keamanan milik VPC Anda memungkinkan Anda mengontrol lalu lintas jaringan antara instans streaming WorkSpaces Aplikasi dan sumber daya VPC seperti server lisensi, server file, dan server database. Grup keamanan juga mengisolasi lalu lintas antara instans streaming Anda dan layanan manajemen WorkSpaces Aplikasi. 

  Gunakan grup keamanan untuk membatasi akses ke instans streaming Anda. Sebagai contoh, Anda dapat mengizinkan lalu lintas hanya dari rentang alamat untuk jaringan perusahaan Anda. Untuk informasi selengkapnya, lihat [Grup Keamanan di WorkSpaces Aplikasi Amazon](managing-network-security-groups.md). 
+ Anda dapat melakukan streaming dari instance streaming WorkSpaces Aplikasi di VPC Anda tanpa melalui internet publik. Untuk melakukannya, gunakan antarmuka VPC endpoint (interface endpoint). Untuk informasi selengkapnya, lihat [Tutorial: Membuat dan Streaming dari Titik Akhir VPC Antarmuka](creating-streaming-from-interface-vpc-endpoints.md).

  Anda juga dapat memanggil operasi WorkSpaces Applications API dari VPC Anda tanpa mengirim lalu lintas melalui internet publik dengan menggunakan endpoint antarmuka. Untuk informasi selengkapnya, lihat [Akses WorkSpaces Aplikasi Operasi API dan Perintah CLI Melalui Antarmuka VPC Endpoint](access-api-cli-through-interface-vpc-endpoint.md).
+ Gunakan peran dan kebijakan IAM untuk mengelola akses administrator ke WorkSpaces Applications, Application Auto Scaling, dan bucket Amazon S3. Untuk informasi selengkapnya, lihat topik berikut:
  + [Menggunakan Kebijakan AWS Terkelola dan Peran Tertaut untuk Mengelola Akses Administrator ke Sumber Daya WorkSpaces Aplikasi](controlling-administrator-access-with-policies-roles.md)
  + [Menggunakan Kebijakan IAM untuk Mengelola Akses Administrator ke Application Auto Scaling](autoscaling-iam-policy.md)
  + [Membatasi Akses Administrator ke Bucket Amazon S3 untuk Folder Rumah dan Persistensi Pengaturan Aplikasi](s3-iam-policy-restricted-access.md)
+ Anda dapat menggunakan SAMP 2.0 untuk menggabungkan otentikasi ke Aplikasi. WorkSpaces Untuk informasi selengkapnya, lihat [Service Quotas WorkSpaces Aplikasi Amazon](limits.md).
**catatan**  
Untuk penerapan WorkSpaces Aplikasi yang lebih kecil, Anda dapat menggunakan kumpulan pengguna WorkSpaces Aplikasi. Secara default, kumpulan pengguna mendukung maksimal 50 pengguna. Untuk informasi selengkapnya tentang kuota WorkSpaces Aplikasi (juga disebut sebagai batas), lihat[Service Quotas WorkSpaces Aplikasi Amazon](limits.md). Untuk penerapan yang harus mendukung 100 atau lebih pengguna WorkSpaces Aplikasi, sebaiknya gunakan SAMP 2.0.

# WorkSpaces Antarmuka Aplikasi VPC Endpoint
<a name="interface-vpc-endpoints"></a>

Cloud Privat Virtual (VPC) adalah jaringan virtual dalam area Anda yang diisolasi secara logika dalam Amazon Web Services Cloud. Jika Anda menggunakan Amazon Virtual Private Cloud untuk meng-host AWS sumber daya Anda, Anda dapat membuat koneksi pribadi antara VPC dan WorkSpaces Aplikasi Anda. Anda dapat menggunakan koneksi ini untuk mengaktifkan WorkSpaces Aplikasi berkomunikasi dengan sumber daya Anda di VPC Anda tanpa melalui internet publik.

Endpoint antarmuka didukung oleh AWSPrivateLink, teknologi yang memungkinkan Anda menyimpan lalu lintas streaming dalam VPC yang Anda tentukan dengan menggunakan alamat IP pribadi. Saat Anda menggunakan VPC dengan AWS Virtual Private Network terowongan Direct Connect atau, Anda dapat menyimpan lalu lintas streaming di dalam jaringan Anda. 

Topik berikut memberikan informasi tentang titik akhir antarmuka WorkSpaces Aplikasi.

**Topics**
+ [

# Tutorial: Membuat dan Streaming dari Titik Akhir VPC Antarmuka
](creating-streaming-from-interface-vpc-endpoints.md)
+ [

# Akses WorkSpaces Aplikasi Operasi API dan Perintah CLI Melalui Antarmuka VPC Endpoint
](access-api-cli-through-interface-vpc-endpoint.md)

# Tutorial: Membuat dan Streaming dari Titik Akhir VPC Antarmuka
<a name="creating-streaming-from-interface-vpc-endpoints"></a>

Anda dapat menggunakan titik akhir VPC antarmuka di akun Amazon Web Services Anda untuk membatasi semua lalu lintas jaringan antara VPC Amazon dan Aplikasi WorkSpaces ke jaringan Amazon. Setelah Anda membuat titik akhir ini, Anda mengonfigurasi tumpukan WorkSpaces Aplikasi atau pembuat gambar untuk menggunakannya. 

**Prasyarat**

Sebelum Anda mengatur titik akhir VPC antarmuka untuk WorkSpaces Aplikasi, perhatikan prasyarat berikut:
+ Konektivitas internet diperlukan untuk mengautentikasi pengguna dan mengirimkan aset web yang dibutuhkan WorkSpaces Aplikasi untuk berfungsi. Titik akhir antarmuka streaming mempertahankan lalu lintas streaming dalam VPC Anda. Lalu lintas streaming termasuk piksel, USB, input pengguna, audio, clipboard, unggahan dan unduhan file, dan lalu lintas printer. Untuk mengizinkan lalu lintas ini, Anda harus mengizinkan domain yang tercantum di dalamnya[Domain yang Diizinkan](allowed-domains.md). Setelah membuat titik akhir VPC, Anda harus mengizinkan domain otentikasi pengguna WorkSpaces Aplikasi. Namun, untuk gateway streaming, Anda dapat membatasi akses ke hanya < >.streaming.appstream. vpc-endpoint-id <aws-region>.vpce.amazonaws.com. Izinkan daftar ke\$1.amazonappstream.com tidak diperlukan. Endpoint VPC nama domain yang sepenuhnya memenuhi syarat menggantikan dependensi tersebut.
+ Jaringan tempat perangkat pengguna Anda terhubung harus dapat merutekan lalu lintas ke titik akhir antarmuka.
+ Grup keamanan yang terkait dengan titik akhir antarmuka harus mengizinkan akses masuk ke port 443 (TCP) dan port 1400-1499 (TCP) dari rentang alamat IP tempat pengguna Anda terhubung.
+ Daftar kontrol akses jaringan untuk subnet harus memungkinkan lalu lintas keluar dari port jaringan sementara 1024-65535 (TCP) ke rentang alamat IP dari mana pengguna Anda terhubung.
+ Anda harus memiliki kebijakan izin IAM Akun AWS yang memberikan izin untuk melakukan tindakan API. `ec2:DescribeVpcEndpoints` Secara default, izin ini didefinisikan dalam kebijakan IAM yang dilampirkan ke AmazonAppStreamServiceAccess peran. Jika Anda memiliki izin yang diperlukan, peran layanan ini secara otomatis dibuat oleh WorkSpaces Aplikasi, dengan kebijakan IAM yang diperlukan dilampirkan, ketika Anda memulai dengan layanan WorkSpaces Aplikasi di Wilayah. AWS Untuk informasi selengkapnya, lihat [Identity and Access Management untuk WorkSpaces Aplikasi Amazon](controlling-access.md).

**Untuk membuat titik akhir antarmuka**

1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. Di panel navigasi, pilih **Endpoints, **Create** Endpoint**.

1. Pilih **Buat Titik Akhir**.

1. Untuk **kategori Layanan**, pastikan bahwa **AWSlayanan** dipilih. 

1. Untuk **Nama Layanan**, pilih **com.amazonaws.** *<Wilayah AWS>***.appstream.streaming**.

1. Tentukan informasi berikut. Setelah selesai, pilih **Buat titik akhir**. 
   + Untuk **VPC**, pilih VPC untuk membuat titik akhir antarmuka. Anda dapat memilih VPC yang berbeda dari VPC dengan sumber daya Aplikasi. WorkSpaces 
   + Untuk **Subnet**, pilih subnet (Availability Zones) untuk membuat antarmuka jaringan endpoint. Kami menyarankan Anda memilih subnet di setidaknya dua Availability Zone.
   + Untuk **jenis alamat IP**, pilih salah satu IPV6 atau IPV4.
   + Pastikan kotak centang **Aktifkan Nama DNS Pribadi** dipilih. 
**catatan**  
Jika pengguna Anda menggunakan proxy jaringan untuk mengakses instans streaming, nonaktifkan caching proxy apa pun pada domain dan nama DNS yang terkait dengan titik akhir pribadi. Nama DNS titik akhir VPC harus diizinkan melalui proxy.
   + Untuk **grup Keamanan**, pilih grup keamanan untuk diasosiasikan dengan antarmuka jaringan titik akhir. 
**catatan**  
Grup keamanan harus menyediakan akses masuk ke port dari rentang alamat IP dari mana pengguna Anda terhubung.

**Saat titik akhir antarmuka Anda sedang dibuat, status titik akhir di konsol muncul sebagai Pending.** Setelah titik akhir Anda dibuat, status berubah menjadi **Tersedia**. 

 Untuk memperbarui tumpukan agar menggunakan titik akhir antarmuka yang Anda buat untuk sesi streaming, lakukan langkah-langkah berikut.

**Untuk memperbarui tumpukan untuk menggunakan titik akhir antarmuka baru**

1. Buka konsol WorkSpaces Aplikasi di [https://console.aws.amazon.com/appstream2/rumah](https://console.aws.amazon.com/appstream2/home).

   Pastikan Anda membuka konsol di AWS Wilayah yang sama dengan titik akhir antarmuka yang ingin Anda gunakan.

1. Di panel navigasi, pilih **Tumpukan**, lalu pilih tumpukan yang Anda inginkan.

1. **Pilih tab **Titik Akhir VPC**, lalu pilih Edit.**

1. Dalam kotak dialog **Edit VPC Endpoint**, untuk **Streaming Endpoint, pilih titik akhir** untuk mengalirkan lalu lintas.

1. Pilih **Perbarui**.

Lalu lintas untuk sesi streaming baru akan diarahkan melalui titik akhir ini. Namun, lalu lintas untuk sesi streaming saat ini terus dirutekan melalui titik akhir yang ditentukan sebelumnya.

**catatan**  
Pengguna tidak dapat melakukan streaming menggunakan titik akhir internet saat titik akhir antarmuka ditentukan.

# Akses WorkSpaces Aplikasi Operasi API dan Perintah CLI Melalui Antarmuka VPC Endpoint
<a name="access-api-cli-through-interface-vpc-endpoint"></a>

Jika Anda menggunakan Amazon Virtual Private Cloud untuk meng-host AWS sumber daya Anda, Anda dapat terhubung langsung ke operasi API WorkSpaces Aplikasi atau perintah antarmuka baris perintah (CLI) melalui titik akhir [VPC antarmuka (titik akhir](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) antarmuka) di cloud pribadi virtual (VPC) Anda alih-alih terhubung melalui internet. Endpoint antarmuka didukung oleh AWSPrivateLink, teknologi yang memungkinkan Anda menyimpan lalu lintas streaming dalam VPC yang Anda tentukan dengan menggunakan alamat IP pribadi. Saat Anda menggunakan titik akhir antarmuka, komunikasi antara VPC WorkSpaces dan Aplikasi dilakukan sepenuhnya dan aman di dalam jaringan. AWS

**catatan**  
Topik ini menjelaskan cara mengakses operasi WorkSpaces Applications API dan perintah CLI melalui titik akhir antarmuka. Untuk informasi tentang cara membuat dan melakukan streaming dari titik akhir antarmuka WorkSpaces Aplikasi, lihat[Tutorial: Membuat dan Streaming dari Titik Akhir VPC Antarmuka](creating-streaming-from-interface-vpc-endpoints.md).

**Prasyarat**

Untuk menggunakan titik akhir antarmuka, Anda harus memenuhi prasyarat berikut:
+ Grup keamanan yang terkait dengan titik akhir antarmuka harus mengizinkan akses masuk ke port 443 (TCP) dari rentang alamat IP tempat pengguna Anda terhubung.
+ Daftar kontrol akses jaringan untuk subnet harus memungkinkan lalu lintas keluar dari port jaringan sementara 1024-65535 (TCP) ke rentang alamat IP dari mana pengguna Anda terhubung.

**Topics**
+ [

# Buat Endpoint Antarmuka untuk Mengakses Operasi API WorkSpaces Aplikasi dan Perintah CLI
](access-api-cli-through-interface-vpc-endpoint-create-interface-endpoint.md)
+ [

# Menggunakan Endpoint Antarmuka untuk Mengakses Operasi API WorkSpaces Aplikasi dan Perintah CLI
](how-to-access-api-cli-through-interface-vpc-endpoint.md)

# Buat Endpoint Antarmuka untuk Mengakses Operasi API WorkSpaces Aplikasi dan Perintah CLI
<a name="access-api-cli-through-interface-vpc-endpoint-create-interface-endpoint"></a>

Lakukan langkah-langkah berikut untuk membuat titik akhir antarmuka.

1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. Di panel navigasi, pilih **Endpoints, **Create** Endpoint**.

1. Pilih **Buat Titik Akhir**.

1. Untuk **kategori Layanan**, pastikan bahwa **AWSlayanan** dipilih. 

1. Untuk **Nama Layanan**, pilih **com.amazonaws.** *<Wilayah AWS>***.appstream.api**.

1. Tentukan informasi berikut. Setelah selesai, pilih **Buat titik akhir**. 
   + Untuk **VPC**, pilih VPC untuk membuat titik akhir antarmuka. 
   + Untuk **Subnet**, pilih subnet (Availability Zones) untuk membuat antarmuka jaringan endpoint. Kami menyarankan Anda memilih subnet di setidaknya dua Availability Zone.
   + Secara opsional, Anda dapat memilih kotak centang **Aktifkan Nama DNS Pribadi**.
**catatan**  
Jika Anda memilih opsi ini, pastikan Anda mengonfigurasi VPC dan DNS sesuai kebutuhan untuk mendukung DNS pribadi. Untuk informasi selengkapnya, lihat [DNS Pribadi](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-private-dns) di Panduan *Pengguna Amazon VPC*.
   + Untuk **grup Keamanan**, pilih grup keamanan untuk diasosiasikan dengan antarmuka jaringan titik akhir. 
**catatan**  
Grup keamanan harus menyediakan akses masuk ke port dari rentang alamat IP dari mana pengguna Anda terhubung.

**Saat titik akhir antarmuka Anda sedang dibuat, status titik akhir di konsol muncul sebagai Pending.** Setelah titik akhir Anda dibuat, status berubah menjadi **Tersedia**.

# Menggunakan Endpoint Antarmuka untuk Mengakses Operasi API WorkSpaces Aplikasi dan Perintah CLI
<a name="how-to-access-api-cli-through-interface-vpc-endpoint"></a>

Setelah status titik akhir VPC antarmuka yang Anda buat perubahan ke **Tersedia**, Anda dapat menggunakan titik akhir untuk mengakses operasi API WorkSpaces Aplikasi dan perintah CLI. Untuk melakukannya, tentukan `endpoint-url` parameter dengan nama DNS dari titik akhir antarmuka saat Anda menggunakan operasi dan perintah ini. Nama DNS dapat diselesaikan secara publik, tetapi hanya berhasil merutekan lalu lintas di VPC Anda. 

Contoh berikut menunjukkan cara menentukan nama DNS dari titik akhir antarmuka saat Anda menggunakan perintah CLI**describe-fleets**:

```
aws appstream describe-fleets --endpoint-url <vpc-endpoint-id>.api.appstream.<aws-region>.vpce.amazonaws.com
```

Contoh berikut menunjukkan cara menentukan nama DNS dari titik akhir antarmuka saat Anda membuat instance klien Python WorkSpaces Boto3 Aplikasi:

```
appstream2client = boto3.client('appstream',region_name='<aws-region>',endpoint_url='<vpc-endpoint-id>.api.appstream.<aws-region>.vpce.amazonaws.com'
```

Perintah selanjutnya menggunakan `appstream2client` objek secara otomatis menggunakan titik akhir antarmuka yang Anda tentukan.

Jika Anda mengaktifkan nama host DNS pribadi pada titik akhir antarmuka, Anda tidak perlu menentukan URL titik akhir. Nama host DNS WorkSpaces Applications API yang digunakan API dan CLI secara default diselesaikan dalam VPC Anda. Untuk informasi selengkapnya tentang nama host DNS pribadi, lihat [DNS Pribadi](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-private-dns) di Panduan Pengguna Amazon *VPC*.

# Melindungi Data dalam Transit dengan Titik Akhir FIPS
<a name="protecting-data-in-transit-FIPS-endpoints"></a>

Secara default, saat Anda berkomunikasi dengan layanan WorkSpaces Aplikasi, baik sebagai administrator yang menggunakan konsol WorkSpaces Aplikasi, Antarmuka Baris AWS Perintah (AWS CLI), atau AWS SDK, atau sebagai pengguna yang streaming dari pembuat gambar atau instance armada, semua data dalam perjalanan dienkripsi menggunakan TLS 1.2.

Jika Anda memerlukan modul kriptografi tervalidasi FIPS 140-2 saat mengakses AWS melalui antarmuka baris perintah atau API, gunakan titik akhir FIPS. WorkSpaces Aplikasi menawarkan titik akhir FIPS di semua AWS Wilayah Amerika Serikat di mana WorkSpaces Aplikasi tersedia. Saat Anda menggunakan titik akhir FIPS, semua data dalam perjalanan dienkripsi menggunakan standar kriptografi yang sesuai dengan Federal Information Processing Standard (FIPS) 140-2. Untuk informasi tentang titik akhir FIPS, termasuk daftar titik akhir WorkSpaces Aplikasi, lihat [Federal Information Processing Standard (FIPS](https://aws.amazon.com/compliance/fips)) 140-2.

**Topics**
+ [

# Titik Akhir FIPS untuk Penggunaan Administratif
](FIPS-for-administrative-use.md)
+ [

# Titik Akhir FIPS untuk Sesi Streaming Pengguna
](FIPS-for-user-streaming-sessions.md)
+ [

# Pengecualian
](FIPS-exceptions.md)

# Titik Akhir FIPS untuk Penggunaan Administratif
<a name="FIPS-for-administrative-use"></a>

Untuk menentukan titik akhir FIPS saat Anda menjalankan AWS CLI perintah untuk WorkSpaces Aplikasi, gunakan parameternya. `endpoint-url` Contoh berikut menggunakan titik akhir WorkSpaces Applications FIPS di Wilayah AS Barat (Oregon) untuk mengambil daftar semua tumpukan di Wilayah:

```
aws appstream describe-stacks --endpoint-url https://appstream2-fips.us-west-2.amazonaws.com
```

Untuk menentukan titik akhir FIPS untuk operasi WorkSpaces Applications API, gunakan prosedur di AWS SDK Anda untuk menentukan titik akhir kustom.

# Titik Akhir FIPS untuk Sesi Streaming Pengguna
<a name="FIPS-for-user-streaming-sessions"></a>

Jika Anda menggunakan SAMP 2.0 atau URL streaming untuk mengautentikasi pengguna, Anda dapat mengonfigurasi koneksi yang sesuai dengan FIPS untuk sesi streaming pengguna Anda.

Untuk menggunakan koneksi yang sesuai dengan FIPS bagi pengguna yang mengautentikasi menggunakan SAMP 2.0, tentukan titik akhir FIPS WorkSpaces Aplikasi saat Anda mengonfigurasi status relai federasi Anda. Untuk informasi selengkapnya tentang membuat URL status relai untuk federasi identitas menggunakan SAMP 2.0, lihat. [Menyiapkan SAMP](external-identity-providers-setting-up-saml.md)

Untuk mengonfigurasi koneksi yang sesuai dengan FIPS bagi pengguna yang mengautentikasi melalui URL streaming, tentukan titik akhir FIPS WorkSpaces Aplikasi saat Anda memanggil [CreateImageBuilderStreamingoperasi](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateImageBuilderStreamingURL.html) URL [CreateStreamingatau URL dari CLI atau](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateStreamingURL.html) SDK. AWS AWS Pengguna yang terhubung ke instance streaming menggunakan URL yang dihasilkan terhubung melalui koneksi yang sesuai dengan FIPS. Contoh berikut menggunakan titik akhir WorkSpaces Aplikasi FIPS di Wilayah AS Timur (Virginia) untuk menghasilkan URL streaming yang sesuai dengan FIPS:

```
aws appstream create-streaming-url --stack-name stack-name --fleet-name fleet-name --user-id user-id --endpoint-url https://appstream2-fips.us-east-1.amazonaws.com
```

# Pengecualian
<a name="FIPS-exceptions"></a>

Koneksi yang sesuai dengan FIPS tidak didukung dalam skenario berikut:
+ Administrasi WorkSpaces Aplikasi melalui konsol WorkSpaces Aplikasi
+ Sesi streaming untuk pengguna yang melakukan autentikasi menggunakan fitur kumpulan pengguna WorkSpaces Aplikasi
+ Streaming menggunakan antarmuka VPC endpoint
+ Menghasilkan streaming URLs yang sesuai dengan FIPS melalui konsol Aplikasi WorkSpaces 
+ Koneksi ke Google Drive atau akun OneDrive penyimpanan di mana penyedia penyimpanan Anda tidak menyediakan titik akhir FIPS

# Grup Keamanan di WorkSpaces Aplikasi Amazon
<a name="managing-network-security-groups"></a>

Anda dapat memberikan kontrol akses tambahan ke VPC Anda dari instans streaming di armada atau pembuat gambar di WorkSpaces Aplikasi Amazon dengan mengaitkannya dengan grup keamanan VPC. Grup keamanan yang termasuk dalam VPC Anda memungkinkan Anda mengontrol lalu lintas jaringan antara instance streaming WorkSpaces Aplikasi dan sumber daya VPC seperti server lisensi, server file, dan server database. Untuk informasi selengkapnya, lihat [Grup Keamanan untuk VPC Anda](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) di Panduan Pengguna Amazon *VPC*.

Aturan yang Anda tetapkan untuk grup keamanan VPC diterapkan saat grup keamanan dikaitkan dengan armada atau pembuat gambar. Aturan grup keamanan menentukan lalu lintas jaringan apa yang diizinkan dari instans streaming Anda. Untuk informasi selengkapnya, lihat [Aturan Grup Keamanan](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#SecurityGroupRules) di *Panduan Pengguna Amazon VPC*.

Anda dapat mengaitkan hingga lima grup keamanan saat meluncurkan pembuat gambar baru atau saat membuat armada baru. Anda juga dapat mengaitkan grup keamanan dengan armada yang ada atau mengubah grup keamanan untuk armada (untuk mengubah grup keamanan untuk armada, Anda harus terlebih dahulu menghentikan armada). Untuk informasi lebih lanjut, lihat [Bekerja dengan Grup Keamanan](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups) di *Panduan Pengguna Amazon VPC*.

Jika Anda tidak memilih grup keamanan, pembuat gambar atau armada Anda dikaitkan dengan grup keamanan default untuk VPC Anda. Untuk informasi selengkapnya, lihat [Grup Keamanan Default untuk VPC Anda](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#DefaultSecurityGroup) di Panduan Pengguna Amazon *VPC*.

Gunakan pertimbangan tambahan ini saat menggunakan grup keamanan dengan WorkSpaces Aplikasi.
+ Semua data pengguna akhir, seperti lalu lintas internet, data folder rumah, atau komunikasi aplikasi dengan sumber daya VPC, dipengaruhi oleh grup keamanan yang terkait dengan instance streaming.
+ Streaming data piksel tidak terpengaruh oleh grup keamanan.
+ Jika Anda telah mengaktifkan akses internet default untuk armada atau pembuat gambar, aturan grup keamanan terkait harus mengizinkan akses internet.

Anda dapat membuat atau mengedit aturan untuk grup keamanan Anda atau membuat grup keamanan baru menggunakan konsol Amazon VPC. 
+ **Untuk mengaitkan grup keamanan dengan pembuat gambar** — Ikuti petunjuk di[Luncurkan Image Builder untuk Menginstal dan Mengkonfigurasi Aplikasi Streaming](tutorial-image-builder-create.md).
+ **Untuk mengasosiasikan kelompok keamanan dengan armada**
  + *Saat membuat armada* — Ikuti instruksi di[Buat Armada di WorkSpaces Aplikasi Amazon](set-up-stacks-fleets-create.md).
  + *Untuk armada yang sudah ada* — Edit pengaturan armada menggunakan Konsol Manajemen AWS.

Anda juga dapat mengaitkan grup keamanan dengan armada Anda menggunakan AWS CLI dan SDKs.
+ **AWS CLI**[— Gunakan perintah [create-fleet dan update-fleet](https://docs.aws.amazon.com/cli/latest/reference/appstream/create-fleet.html).](https://docs.aws.amazon.com/cli/latest/reference/appstream/update-fleet.html)
+ **AWS SDKs**— Gunakan operasi [CreateFleet](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateFleet.html)dan [UpdateFleet](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_UpdateFleet.html)API.

Untuk informasi selengkapnya, lihat [Panduan AWS Command Line Interface Pengguna](https://docs.aws.amazon.com/cli/latest/userguide/) dan [Alat untuk Amazon Web Services](https://aws.amazon.com/tools/).

# Perbarui Manajemen di WorkSpaces Aplikasi Amazon
<a name="update-management"></a>

WorkSpaces Aplikasi menyediakan cara otomatis untuk memperbarui pembuat gambar Anda dengan perangkat lunak WorkSpaces Aplikasi yang lebih baru. Ketika gambar Anda dikonfigurasi untuk selalu menggunakan versi agen WorkSpaces Aplikasi terbaru, instans streaming Anda diperbarui secara otomatis dengan fitur terbaru, peningkatan kinerja, dan pembaruan keamanan yang tersedia. AWS Untuk informasi tentang cara mengelola versi agen WorkSpaces Aplikasi, lihat[Kelola Versi Agen WorkSpaces Aplikasi](base-images-agent.md). 

Anda bertanggung jawab untuk menginstal dan memelihara pembaruan untuk sistem operasi Windows, aplikasi Anda, dan dependensinya. Untuk informasi selengkapnya, lihat [Simpan Gambar WorkSpaces Aplikasi Amazon Anda Up-to-Date](keep-image-updated.md).

Anda dapat menyimpan gambar WorkSpaces Aplikasi Anda up-to-date dengan menggunakan pembaruan gambar WorkSpaces Aplikasi terkelola. Metode pembaruan ini menyediakan pembaruan sistem operasi Windows terbaru dan pembaruan driver, dan perangkat lunak agen WorkSpaces Aplikasi terbaru. Untuk informasi selengkapnya, lihat [Memperbarui Gambar dengan Menggunakan Pembaruan Gambar WorkSpaces Aplikasi Terkelola](keep-image-updated-managed-image-updates.md).

Untuk mengelola pembaruan aplikasi pada instans streaming Anda, Anda dapat menggunakan layanan pembaruan otomatis apa pun yang disediakan. Anda juga dapat mengikuti rekomendasi untuk menginstal pembaruan yang disediakan oleh vendor aplikasi. 

# WorkSpaces Aplikasi Amazon Cross-Service Pencegahan Deputi Bingung
<a name="confused-deputy"></a>

Masalah deputi yang membingungkan adalah masalah keamanan di mana entitas yang tidak memiliki izin untuk melakukan tindakan memaksa entitas yang lebih istimewa untuk melakukan tindakan. Pada tahun AWS, peniruan lintas layanan dapat membuat sumber daya akun rentan terhadap masalah wakil yang membingungkan. Peniruan identitas lintas layanan terjadi ketika satu layanan (layanan panggilan) *memanggil layanan* lain (layanan yang *disebut*). Layanan panggilan dapat memanipulasi layanan yang dipanggil untuk menggunakan izinnya untuk bertindak atas sumber daya pelanggan dengan cara yang layanan panggilan tidak memiliki izin untuk melakukan sendiri. Untuk mencegah hal ini, AWS sediakan alat yang membantu Anda melindungi data Anda untuk semua layanan dengan prinsip layanan yang memiliki akses ke sumber daya di akun Anda.

Sebaiknya gunakan kunci konteks kondisi `aws:SourceAccount` global `aws:SourceArn` dan dalam kebijakan sumber daya untuk membatasi izin saat mengakses sumber daya ini. Pedoman berikut merinci rekomendasi dan persyaratan saat Anda menggunakan kunci ini untuk melindungi sumber daya Anda:
+ Gunakan `aws:SourceArn` jika Anda hanya menginginkan satu sumber daya yang terkait dengan akses lintas layanan.
+ Gunakan `aws:SourceAccount` jika Anda ingin mengizinkan sumber daya apa pun di akun tertentu yang terkait dengan penggunaan lintas layanan.
+ Jika `aws:SourceArn` kunci tidak berisi ID akun, Anda harus menggunakan kedua kunci konteks kondisi global (`aws:SourceArn`dan`aws:SourceAccount`) untuk membatasi izin.
+ Jika Anda menggunakan kunci konteks kondisi global dan `aws:SourceArn` nilainya berisi ID akun, `aws:SourceAccount` kunci harus menggunakan ID akun yang sama saat digunakan dalam pernyataan kebijakan yang sama.

Cara paling efektif untuk melindungi dari masalah wakil yang membingungkan adalah dengan menggunakan Nama Sumber Daya Amazon (ARN) yang tepat dari sumber daya yang ingin Anda izinkan. Jika Anda tidak mengetahui ARN lengkap sumber daya, gunakan kunci kondisi konteks `aws:SourceArn` global dengan wildcard (seperti\$1) untuk bagian ARN yang tidak diketahui. Anda juga dapat menggunakan wildcard di ARN jika Anda ingin menentukan beberapa sumber daya. Misalnya, Anda dapat memformat ARN sebagai. `arn:aws:servicename::region-name::your Akun AWS ID:*`

**Topics**
+ [

# Contoh: Peran layanan WorkSpaces aplikasi lintas layanan membingungkan pencegahan wakil
](example-confused-deputy.md)
+ [

# Contoh: WorkSpaces Aplikasi peran mesin armada lintas layanan membingungkan pencegahan wakil
](example-fleet-machine.md)
+ [

# Contoh: WorkSpaces Aplikasi Skrip sesi armada elastis Kebijakan bucket Amazon S3 lintas layanan membingungkan pencegahan wakil
](example-elastic-fleets.md)
+ [

# Contoh: WorkSpaces Aplikasi Aplikasi Kebijakan bucket Amazon S3 lintas layanan membingungkan pencegahan wakil
](example-s3-bucket.md)

# Contoh: Peran layanan WorkSpaces aplikasi lintas layanan membingungkan pencegahan wakil
<a name="example-confused-deputy"></a>

WorkSpaces Aplikasi mengasumsikan peran layanan menggunakan berbagai sumber daya ARNs, yang mengarah ke pernyataan kondisional yang rumit. Sebaiknya gunakan jenis sumber daya wildcard untuk mencegah kegagalan sumber daya WorkSpaces Aplikasi yang tidak terduga.

**Example `aws:SourceAccount`Bersyarat:**    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "appstream.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "your Akun AWS ID"
                }
            }
        }
    ]
}
```

**Example `aws:SourceArn`Bersyarat:**    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "appstream.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "ArnLike": {                   
                "aws:SourceArn": "arn:aws:appstream:us-east-1:111122223333:*"
                }
            }
        }
    ]
}
```

# Contoh: WorkSpaces Aplikasi peran mesin armada lintas layanan membingungkan pencegahan wakil
<a name="example-fleet-machine"></a>

**Example `aws:SourceAccount`Bersyarat:**    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "appstream.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "your Akun AWS ID"
                }
            }
        }
    ]
}
```

**Example `aws:SourceArn`Bersyarat:**  
Jika Anda ingin menggunakan satu peran IAM untuk beberapa armada, sebaiknya gunakan kunci kondisi konteks `aws:SourceArn` global dengan wildcard (\$1) untuk mencocokkan beberapa sumber daya armada WorkSpaces Aplikasi.  
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "appstream.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "ArnLike": {
                "aws:SourceArn": "arn:aws:appstream:us-east-1:111122223333:fleet/your-fleet-name"
                }
            }
        }
    ]
}
```

# Contoh: WorkSpaces Aplikasi Skrip sesi armada elastis Kebijakan bucket Amazon S3 lintas layanan membingungkan pencegahan wakil
<a name="example-elastic-fleets"></a>

**Example `aws:SourceAccount`Bersyarat:**    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "appstream.amazonaws.com"
                ]
            },
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::your-bucket-name/your-session-script-path",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "your Akun AWS ID"
                } 
            }
        }
    ]
}
```

**Example `aws:SourceArn`Bersyarat:**    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "appstream.amazonaws.com"
                ]
            },
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::bucket/AppStream2/*",
            "Condition": {
                "ArnLike": {
                "aws:SourceArn": "arn:aws:appstream:us-east-1:111122223333:fleet/yourFleetName"
                }
            }
        }
    ]
}
```

# Contoh: WorkSpaces Aplikasi Aplikasi Kebijakan bucket Amazon S3 lintas layanan membingungkan pencegahan wakil
<a name="example-s3-bucket"></a>

Saat Anda menyimpan data di bucket Amazon S3, bucket mungkin terkena masalah deputi yang membingungkan. Ini dapat membuat data seperti armada elastis, blok aplikasi, skrip pengaturan, ikon aplikasi, dan skrip sesi rentan terhadap aktor jahat.

Untuk mencegah masalah deputi yang membingungkan, Anda dapat menentukan `aws:SourceAccount` kondisi atau `aws:SourceArn` kondisi dalam kebijakan bucket Amazon S3 untuk. `ELASTIC-FLEET-EXAMPLE-BUCKET`

Kebijakan sumber daya di bawah ini menunjukkan cara mencegah masalah wakil yang membingungkan dengan salah satu dari berikut ini:
+ `aws:SourceAccount`Dengan ID AWS akun Anda
+ Kunci konteks kondisi global `aws:SourceArn`

WorkSpaces Aplikasi saat ini tidak mendukung pencegahan wakil yang membingungkan untuk ikon aplikasi. Layanan ini hanya mendukung file VHD dan skrip pengaturan. Jika Anda mencoba menambahkan kondisi tambahan untuk ikon aplikasi, ikon tidak akan ditampilkan kepada pengguna akhir.

Dalam contoh berikut, kebijakan bucket hanya mengizinkan sumber daya armada WorkSpaces Applications Elastic di akun pemilik untuk mengakses`ELASTIC_FLEET_EXAMPLE_BUCKET`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ConfusedDeputyPreventionExamplePolicy",
            "Effect": "Allow",
            "Principal": {
                "Service": "appstream.amazonaws.com"
            },
            "Action": "s3:GetObject",
            "Resource": [
                "arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/vhd-folder/*",
                "arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/scripts/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "your Akun AWS ID"
                }
            }
        },
        {
            "Sid": "AllowRetrievalPermissionsToS3AppIconsForAppStream",
            "Effect": "Allow",
            "Principal": {
                "Service": "appstream.amazonaws.com"
            },
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/app-icons/*"
        }
    ]
}
```

------

Anda juga dapat menggunakan `aws:SourceArn` kondisi untuk membatasi akses sumber daya untuk sumber daya tertentu. 

**catatan**  
Jika Anda tidak mengetahui ARN lengkap sumber daya, atau Anda ingin menentukan beberapa sumber daya, gunakan kunci kondisi konteks `aws:SourceArn` global dengan wildcard (\$1) untuk bagian ARN yang tidak diketahui.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ConfusedDeputyPreventionExamplePolicy",
            "Effect": "Allow",
            "Principal": {
                "Service": "appstream.amazonaws.com"
            },
            "Action": "s3:GetObject",
            "Resource": [
                "arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/vhd-folder/*",
                "arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/scripts/*"
            ],
            "Condition": {
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:appstream:us-east-1:111122223333:app-block/*"
                }
            }
        },
        {
            "Sid": "AllowRetrievalPermissionsToS3AppIconsForAppStream",
            "Effect": "Allow",
            "Principal": {
                "Service": "appstream.amazonaws.com"
            },
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/app-icons/*"
        }
    ]
}
```

------

Anda dapat menggunakan `aws:SourceArn` dan `aws:SourceAccount` ketentuan untuk membatasi akses sumber daya untuk sumber daya dan akun tertentu. 

**catatan**  
Jika Anda tidak mengetahui ARN lengkap sumber daya, atau jika Anda ingin menentukan beberapa sumber daya, gunakan kunci kondisi konteks `aws:SourceArn` global dengan wildcard (\$1) untuk bagian ARN yang tidak diketahui.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ConfusedDeputyPreventionExamplePolicy",
            "Effect": "Allow",
            "Principal": {
                "Service": "appstream.amazonaws.com"
            },
            "Action": "s3:GetObject",
            "Resource": [
                "arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/vhd-folder/*",
                "arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/scripts/*"
            ],
            "Condition": {
                "ArnLike": {
                "aws:SourceArn": "arn:aws:appstream:us-east-1:111122223333:app-block/*"
                },
                "StringEquals": {
                    "aws:SourceAccount": "your AWS account ID"
                }
            }
        },
        {
            "Sid": "AllowRetrievalPermissionsToS3AppIconsForAppStream",
            "Effect": "Allow",
            "Principal": {
                "Service": "appstream.amazonaws.com"
            },
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/app-icons/*"
        }
    ]
}
```

------

# Praktik Terbaik Keamanan di WorkSpaces Aplikasi Amazon
<a name="security-best-practices"></a>

 Keamanan cloud di Amazon Web Services (AWS) merupakan prioritas tertinggi. Keamanan dan kepatuhan adalah tanggung jawab bersama antara AWS dan pelanggan. Untuk informasi lebih lanjut, lihat [https://aws.amazon.com/compliance/shared-responsibility-model/](https://aws.amazon.com/compliance/shared-responsibility-model/). Sebagai pelanggan AWS dan WorkSpaces Aplikasi, penting untuk menerapkan langkah-langkah keamanan pada lapisan yang berbeda seperti tumpukan, armada, gambar, dan jaringan. 

 Karena sifatnya yang fana, WorkSpaces Aplikasi sering lebih disukai sebagai solusi aman untuk pengiriman aplikasi dan desktop. Pertimbangkan apakah solusi antivirus yang biasa digunakan dalam penerapan Windows relevan dalam kasus penggunaan Anda untuk lingkungan yang telah ditentukan sebelumnya dan dibersihkan di akhir sesi pengguna. Antivirus menambahkan overhead ke instance virtual, menjadikannya praktik terbaik untuk mengurangi aktivitas yang tidak perlu. Misalnya, memindai volume sistem (yang bersifat sementara) saat boot, misalnya, tidak menambah keamanan Aplikasi secara keseluruhan. WorkSpaces 

 Dua pertanyaan kunci untuk WorkSpaces Aplikasi keamanan berpusat pada: 
+  Apakah status pengguna yang bertahan di luar sesi merupakan persyaratan? 
+  Berapa banyak akses yang harus dimiliki pengguna dalam satu sesi? 

**Topics**
+ [

# Mengamankan Data Persisten
](securing-persistent-data.md)
+ [

# Keamanan Titik Akhir dan Antivirus
](endpoint-security-antivirus.md)
+ [

# Pengecualian Jaringan
](network-exclusions.md)
+ [

# Mengamankan Sesi WorkSpaces Aplikasi
](securing-session.md)
+ [

# Firewall dan Routing
](firewalls-routing.md)
+ [

# Pencegahan Kehilangan Data
](data-loss-prevention.md)
+ [

# Mengontrol lalu lintas jalan keluar
](controlling-egress-traffic.md)
+ [

# Menggunakan AWS layanan
](using-services.md)

# Mengamankan Data Persisten
<a name="securing-persistent-data"></a>

 Penerapan WorkSpaces Aplikasi dapat memerlukan status pengguna untuk bertahan dalam beberapa bentuk. Mungkin untuk mempertahankan data untuk pengguna individu, atau untuk mempertahankan data untuk kolaborasi menggunakan folder bersama. AppStreamPenyimpanan instance 2.0 bersifat sementara dan tidak memiliki opsi enkripsi. 

 WorkSpaces Aplikasi menyediakan persistensi status pengguna melalui folder rumah dan pengaturan aplikasi di Amazon S3. Beberapa kasus penggunaan memerlukan kontrol yang lebih besar atas persistensi status pengguna. Untuk kasus penggunaan ini, AWS rekomendasikan untuk menggunakan berbagi file Server Message Block (SMB). 

## Status pengguna dan data
<a name="user-state-and-data"></a>

Karena sebagian besar aplikasi Windows berkinerja terbaik dan paling aman ketika ditempatkan bersama dengan data aplikasi yang dibuat oleh pengguna, itu adalah praktik terbaik untuk menyimpan data ini Wilayah AWS sama dengan armada WorkSpaces Aplikasi. Mengenkripsi data ini adalah praktik terbaik. Perilaku default folder home pengguna adalah mengenkripsi file dan folder saat istirahat menggunakan kunci enkripsi terkelola Amazon S3 dari layanan manajemen AWS kunci ().AWS KMS Penting untuk dicatat bahwa Pengguna AWS Administratif dengan akses ke bucket AWS Console atau Amazon S3 akan dapat mengakses file-file tersebut secara langsung.

Dalam desain yang memerlukan target Blok Pesan Server (SMB) dari Windows File Share untuk menyimpan file dan folder pengguna, prosesnya otomatis atau memerlukan konfigurasi.

 *Tabel 5 — Opsi untuk mengamankan data pengguna* 


|   **Target SMB**   |  **E ncryption-at-rest**  |  **E ncryption-in-transit**  |   **Antivirus (AV)**   | 
| --- | --- | --- | --- | 
|  FSx untuk Windows File Server  |  [https://docs.aws.amazon.com/fsx/latest/WindowsGuide/encryption-at-rest.html](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/encryption-at-rest.html)  |  [https://docs.aws.amazon.com/fsx/latest/WindowsGuide/encryption-in-transit.html](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/encryption-in-transit.html)  |   AV yang diinstal pada instance jarak jauh melakukan pemindaian pada drive yang dipetakan   | 
|   **Gateway File, AWS Storage Gateway**   |  Secara default, semua data yang disimpan oleh AWS Storage Gateway dalam S3 dienkripsi sisi server dengan Amazon S3-Managed Encryption Keys (SSE-S3). Anda dapat secara opsional mengonfigurasi berbagai jenis gateway untuk mengenkripsi data yang disimpan dengan AWS Key Management Service (KMS)  |  Semua data yang ditransfer antara semua jenis alat gateway dan AWS penyimpanan dienkripsi menggunakan SSL.  |   AV yang diinstal pada instance jarak jauh melakukan pemindaian pada drive yang dipetakan   | 
|  Server File Windows Berbasis EC2  |  [Aktifkan enkripsi EBS](https://docs.aws.amazon.com/kms/latest/developerguide/services-ebs.html)  |  PowerShell; Set- SmbServerConfiguration – EncryptData \$1True  |   AV yang diinstal pada server melakukan pemindaian pada drive lokal   | 

# Keamanan Titik Akhir dan Antivirus
<a name="endpoint-security-antivirus"></a>

Sifat singkat instans WorkSpaces Aplikasi dan kurangnya persistensi data berarti pendekatan yang berbeda diperlukan untuk memastikan pengalaman dan kinerja pengguna tidak terganggu oleh aktivitas yang akan diperlukan pada desktop persisten. Agen Keamanan Endpoint diinstal dalam gambar WorkSpaces Aplikasi ketika ada kebijakan organisasi atau ketika digunakan dengan masuknya data eksternal misalnya email, masuknya file, penjelajahan web eksternal.

## Menghapus pengidentifikasi unik
<a name="removing-unique-iidentifiers"></a>

Agen Endpoint Security mungkin memiliki pengenal unik global (GUID) yang harus disetel ulang selama proses pembuatan instance armada. Vendor memiliki instruksi untuk menginstal produk mereka dalam gambar yang akan memastikan GUID baru dihasilkan untuk setiap instance yang dihasilkan dari gambar.

Untuk memastikan GUID tidak dihasilkan, instal agen Endpoint Security sebagai tindakan terakhir sebelum menjalankan WorkSpaces Applications Assistant untuk menghasilkan gambar.

## Optimalisasi kinerja
<a name="performance-optimization"></a>

Vendor Keamanan Endpoint menyediakan sakelar dan pengaturan yang mengoptimalkan kinerja Aplikasi. WorkSpaces Pengaturan bervariasi antara vendor dan dapat ditemukan dalam dokumentasi mereka, biasanya di bagian tentang VDI. Beberapa pengaturan umum termasuk tetapi tidak terbatas pada adalah:
+ Matikan pemindaian boot up untuk memastikan pembuatan instans, waktu startup, dan login diminimalkan
+ Matikan pemindaian terjadwal untuk mencegah pemindaian yang tidak perlu
+ Matikan cache tanda tangan untuk mencegah pencacahan file
+ Aktifkan pengaturan IO yang dioptimalkan VDI
+ Pengecualian yang diperlukan oleh aplikasi untuk memastikan kinerja

Vendor keamanan endpoint memberikan instruksi untuk digunakan dengan lingkungan desktop virtual yang mengoptimalkan kinerja.
+ [Dukungan Pemindaian Kantor Trend Micro untuk Infrastruktur Desktop Virtual - Apex One/ OfficeScan (](https://success.trendmicro.com/solution/1055260-best-practice-for-setting-up-virtual-desktop-infrastructure-vdi-in-officescan)trendmicro.com)
+ CrowdStrike dan [Cara Memasang CrowdStrike Falcon di Pusat Data](https://www.crowdstrike.com/blog/tech-center/install-falcon-datacenter/)
+ Sophos dan [Sophos Central Endpoint: Cara menginstal pada gambar emas untuk menghindari identitas duplikat](https://support.sophos.com/support/s/article/KB-000035040?language=en_US) dan [Sophos Central: Praktik terbaik saat menginstal](https://support.sophos.com/support/s/article/KB-000039009?language=en_US) Titik Akhir Windows di Lingkungan Desktop Virtual
+ McAfee dan [Penyediaan dan penyebaran McAfee Agen pada sistem Infrastruktur Desktop Virtual](https://kc.mcafee.com/corporate/index?page=content&id=KB87654)
+ Microsoft Endpoint Security dan [Mengkonfigurasi Microsoft Defender Antivirus untuk mesin VDI yang tidak persisten](https://techcommunity.microsoft.com/t5/microsoft-defender-for-endpoint/configuring-microsoft-defender-antivirus-for-non-persistent-vdi/ba-p/1489633) - Microsoft Tech Community

## Pengecualian pemindaian
<a name="scanning-exclusions"></a>

 Jika perangkat lunak keamanan diinstal dalam instans WorkSpaces Aplikasi, perangkat lunak keamanan tidak boleh mengganggu proses berikut. 

 *Tabel 6 — WorkSpaces Aplikasi memproses perangkat lunak keamanan tidak boleh mengganggu proses berikut.* 


|  **Layanan**  |  **Proses**  | 
| --- | --- | 
|  AmazonCloudWatchAgent  |  “C:\$1Program File\$1 Amazon\$1AmazonCloudWatchAgent\$1 mulai-amazon- cloudwatch-agent.exe”  | 
|  Amazon SSMAgent  |  “C:\$1Program File\$1 Amazon\$1 SSM\$1 amazon-ssm-agent .exe”  | 
|  NICE DCV  |  “C:\$1Program Files\$1 NICE\$1 DCV\$1 Server\$1 bin\$1 dcvserver.exe” "C:\$1Program File\$1 BAGUS\$1 DCV\$1 Server\$1 bin\$1 dcvagent.exe”  | 
|  WorkSpaces Aplikasi  |   “C:\$1Program File\$1 Amazon\$1 AppStream 2\$1StorageConnector\$1 StorageConnector .exe”   Di folder "C:\$1Program Files\$1 Amazon\$1 Photon\$1”   “. \$1 Agen\$1 PhotonAgent .exe”  “. \$1 Agen\$1 s5cmd.exe”  “. \$1WebServer\$1 PhotonAgentWebServer .exe”  “. \$1CustomShell\$1 PhotonWindowsAppSwitcher .exe”  “. \$1CustomShell\$1 PhotonWindowsCustomShell .exe”  “. \$1CustomShell\$1 PhotonWindowsCustomShellBackground .exe”   | 

## Folder
<a name="folders"></a>

 Jika perangkat lunak keamanan diinstal dalam instans WorkSpaces Aplikasi, perangkat lunak tidak boleh mengganggu folder berikut: 

**Example**  

```
    C:\Program Files\Amazon\* 
    C:\ProgramData\Amazon\* 
    C:\Program Files (x86)\AWS Tools\* 
    C:\Program Files (x86)\AWS SDK for .NET\* 
    C:\Program Files\NICE\* 
    C:\ProgramData\NICE\* 
    C:\AppStream\*
```

## Kebersihan konsol keamanan titik akhir
<a name="endpoint-security-console-hygiene"></a>

WorkSpaces Aplikasi akan membuat instance unik baru setiap kali pengguna terhubung di luar batas waktu idle dan memutuskan sambungan. Instans akan memiliki nama yang unik dan akan dibangun di kondoles manajemen keamanan endpoint. Menyetel mesin tua yang tidak digunakan di atas 4 hari atau lebih (atau lebih rendah tergantung pada batas waktu sesi WorkSpaces Aplikasi) untuk dihapus akan meminimalkan jumlah instans kedaluwarsa di konsol.

# Pengecualian Jaringan
<a name="network-exclusions"></a>

 Rentang jaringan manajemen WorkSpaces Aplikasi (`198.19.0.0/16`) dan port serta alamat berikut tidak boleh diblokir oleh solusi keamanan/firewall atau antivirus apa pun dalam instance WorkSpaces Aplikasi. 

 *Tabel 7 — Ports in WorkSpaces Applications streaming instance perangkat lunak keamanan tidak boleh mengganggu* 


|  **Port**  |   **Penggunaan**   | 
| --- | --- | 
|  8300  |   Ini digunakan untuk membuat koneksi streaming   | 
|  3128  |  Ini digunakan untuk mengelola instance streaming oleh WorkSpaces Aplikasi  | 
|  8000  |   Ini digunakan untuk mengelola instance streaming oleh WorkSpaces Aplikasi   | 
|  8443  |   Ini digunakan untuk mengelola instance streaming oleh WorkSpaces Aplikasi   | 
|  53  |   DNS   | 

 *Tabel 8 — Alamat layanan terkelola WorkSpaces aplikasi perangkat lunak keamanan tidak boleh mengganggu* 


|  **Port**  |  **Penggunaan**  | 
| --- | --- | 
|  169.254.169.123  |  NTP  | 
|  169.254.169.249  |  Layanan Lisensi NVIDIA GRID  | 
|  169.254.169.250  |  KM  | 
|  169.254.169.251  |  KM  | 
|  169.254.169.253  |  DNS  | 
|  169.254.169.254  |  Metadata  | 

# Mengamankan Sesi WorkSpaces Aplikasi
<a name="securing-session"></a>

## Membatasi kontrol aplikasi dan sistem operasi
<a name="limiting-application-and-operating-system-controls"></a>

 WorkSpaces Aplikasi memberi administrator kemampuan untuk menentukan dengan tepat aplikasi mana yang dapat diluncurkan dari halaman web dalam mode streaming aplikasi. Namun, ini tidak menjamin bahwa hanya aplikasi yang ditentukan yang dapat dijalankan. 

 Utilitas dan aplikasi Windows dapat diluncurkan melalui sistem operasi melalui cara tambahan. AWS merekomendasikan penggunaan [https://aws.amazon.com/blogs/desktop-and-application-streaming/using-microsoft-applocker-to-manage-application-experience-on-amazon-appstream-2-0/](https://aws.amazon.com/blogs/desktop-and-application-streaming/using-microsoft-applocker-to-manage-application-experience-on-amazon-appstream-2-0/) untuk memastikan bahwa hanya aplikasi yang dibutuhkan organisasi Anda yang dapat dijalankan. Aturan default harus dimodifikasi, karena mereka memberi semua orang akses jalur ke direktori sistem kritis. 

**catatan**  
 Windows Server 2016 dan 2019 mengharuskan layanan Identitas Aplikasi Windows berjalan untuk menegakkan AppLocker aturan. Akses aplikasi dari WorkSpaces Aplikasi yang menggunakan Microsoft AppLocker dirinci dalam [Panduan AppStream Admin.](https://docs.aws.amazon.com/appstream2/latest/developerguide/data-protection.html#application-access) 

 Untuk instance armada yang bergabung dengan domain Active Directory, gunakan Group Policy Objects (GPOs) untuk memberikan setelan pengguna dan sistem guna mengamankan akses aplikasi dan sumber daya pengguna. 

# Firewall dan Routing
<a name="firewalls-routing"></a>

 Saat membuat armada WorkSpaces Aplikasi, subnet dan Grup Keamanan harus ditetapkan. Subnet memiliki penugasan Network Access Control Lists (NACLs) dan tabel rute yang ada. Anda dapat mengaitkan [hingga lima grup keamanan](https://docs.aws.amazon.com/appstream2/latest/developerguide/managing-network-security-groups.html) saat meluncurkan pembuat gambar baru atau saat membuat armada baru Grup Keamanan dapat memiliki hingga [lima tugas dari Grup Keamanan yang ada](https://docs.aws.amazon.com/appstream2/latest/developerguide/managing-network-security-groups.html). Untuk setiap grup keamanan, Anda menambahkan aturan yang mengontrol lalu lintas jaringan keluar dan masuk dari dan ke instans Anda

NACL adalah lapisan keamanan opsional untuk VPC Anda yang bertindak sebagai firewall stateless untuk mengontrol lalu lintas masuk dan keluar dari satu atau lebih subnet. Anda dapat mengatur jaringan ACLs dengan aturan yang mirip dengan grup keamanan Anda untuk menambahkan lapisan keamanan tambahan ke VPC Anda. Untuk informasi selengkapnya tentang perbedaan antara grup keamanan dan jaringan ACLs, lihat [membandingkan grup dan NACLs halaman keamanan](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html#VPC_Security_Comparison).

Saat merancang dan menerapkan aturan Security Group dan NACL, pertimbangkan praktik terbaik AWS Well-Architected untuk mendapatkan hak istimewa paling sedikit. *Keistimewaan paling sedikit* adalah prinsip pemberian hanya izin yang diperlukan untuk menyelesaikan tugas.

Untuk pelanggan yang memiliki jaringan pribadi berkecepatan tinggi yang menghubungkan lingkungan lokal mereka ke AWS (melalui AWS Direct Connect), Anda dapat mempertimbangkan untuk menggunakan Titik Akhir VPC untuk AppStream, yang berarti lalu lintas streaming akan dirutekan melalui konektivitas jaringan pribadi Anda daripada melintasi internet publik. Untuk informasi selengkapnya tentang topik ini, lihat bagian Titik akhir VPC antarmuka streaming WorkSpaces aplikasi pada dokumen ini.

# Pencegahan Kehilangan Data
<a name="data-loss-prevention"></a>

Kita akan melihat dua jenis pencegahan kehilangan data.

## Klien ke AppStream 2.0 Kontrol Transfer Data Instance
<a name="client-to-AppStream-instance-data-transfer-controls"></a>

 *Tabel 9 — Panduan untuk mengontrol masuknya data dan keluar* 


|  **Pengaturan**  |  **Pilihan**  |  **Bimbingan**  | 
| --- | --- | --- | 
|  Papan klip  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/appstream2/latest/developerguide/data-loss-prevention.html)  |  Menonaktifkan pengaturan ini tidak menonaktifkan salin dan tempel dalam sesi. Jika menyalin data ke sesi diperlukan, pilih Tempel ke sesi jarak jauh hanya untuk meminimalkan potensi kebocoran data.  | 
|  Transfer file  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/appstream2/latest/developerguide/data-loss-prevention.html)  |  Hindari mengaktifkan pengaturan ini untuk mencegah kebocoran data.  | 
|  Mencetak ke perangkat lokal  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/appstream2/latest/developerguide/data-loss-prevention.html)  |  Jika pencetakan diperlukan, gunakan printer yang dipetakan jaringan yang dikontrol dan dipantau oleh organisasi Anda.  | 

 Pertimbangkan keuntungan dari solusi transfer data organisasi yang ada dibandingkan pengaturan tumpukan. Konfigurasi ini tidak dirancang untuk menggantikan solusi transfer data aman yang komprehensif. 

# Mengontrol lalu lintas jalan keluar
<a name="controlling-egress-traffic"></a>

Di mana kehilangan data menjadi perhatian, penting untuk menutupi apa yang dapat diakses Pengguna begitu mereka berada di dalam instance WorkSpaces Aplikasi mereka. Seperti apa jalur keluar (atau jalan keluar) jaringan? Merupakan persyaratan umum untuk memiliki akses internet publik yang tersedia bagi pengguna akhir di dalam instance WorkSpaces Aplikasi mereka, sehingga menempatkan Solusi Penyaringan Konten WebProxy atau di jalur jaringan perlu dipertimbangkan. Pertimbangan lain termasuk aplikasi Antivirus lokal dan langkah-langkah keamanan endpoint lainnya di dalam AppStream instance (lihat bagian “Endpoint Security and Antivirus” untuk informasi lebih lanjut).

# Menggunakan AWS layanan
<a name="using-services"></a>

## AWS Identity and Access Management
<a name="aws-identity-and-access-management"></a>

 Menggunakan peran IAM untuk mengakses AWS layanan, dan menjadi spesifik dalam kebijakan IAM yang melekat padanya, adalah praktik terbaik yang hanya menyediakan pengguna dalam sesi WorkSpaces Aplikasi yang memiliki akses tanpa mengelola kredensil tambahan. Ikuti [https://docs.aws.amazon.com/appstream2/latest/developerguide/using-iam-roles-to-grant-permissions-to-applications-scripts-streaming-instances.html#best-practices-for-using-iam-role-with-streaming-instances](https://docs.aws.amazon.com/appstream2/latest/developerguide/using-iam-roles-to-grant-permissions-to-applications-scripts-streaming-instances.html#best-practices-for-using-iam-role-with-streaming-instances). 

 Buat [https://docs.aws.amazon.com/appstream2/latest/developerguide/s3-iam-policy.html](https://docs.aws.amazon.com/appstream2/latest/developerguide/s3-iam-policy.html) yang dibuat untuk mempertahankan data pengguna di folder beranda dan persistensi pengaturan aplikasi. Hal ini [https://docs.aws.amazon.com/appstream2/latest/developerguide/s3-iam-policy.html#s3-iam-policy-restricted-access](https://docs.aws.amazon.com/appstream2/latest/developerguide/s3-iam-policy.html#s3-iam-policy-restricted-access) dari akses. 

## Titik akhir VPC
<a name="vpc-endpoints-1"></a>

 Titik akhir VPC memungkinkan koneksi pribadi antara VPC Anda AWS dan layanan yang didukung serta layanan titik akhir VPC yang didukung oleh. AWS PrivateLink AWS PrivateLink adalah teknologi yang memungkinkan Anda mengakses layanan secara pribadi dengan menggunakan alamat IP pribadi. Lalu lintas antara VPC Anda dan layanan lainnya tidak meninggalkan jaringan Amazon. Jika akses internet publik hanya diperlukan untuk AWS layanan, titik akhir VPC menghapus persyaratan untuk gateway NAT dan gateway internet sama sekali. 

 Di lingkungan di mana rutinitas otomatisasi atau pengembang memerlukan panggilan API untuk WorkSpaces Aplikasi, [https://docs.aws.amazon.com/appstream2/latest/developerguide/access-api-cli-through-interface-vpc-endpoint.html](https://docs.aws.amazon.com/appstream2/latest/developerguide/access-api-cli-through-interface-vpc-endpoint.html) operasi API Aplikasi. [https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateStreamingURL.html](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateStreamingURL.html) Diagram berikut menunjukkan contoh pengaturan di mana WorkSpaces Applications API dan streaming VPC endpoint dikonsumsi oleh fungsi Lambda dan instans EC2. 

![\[Diagram arsitektur referensi untuk titik akhir VPC\]](http://docs.aws.amazon.com/id_id/appstream2/latest/developerguide/images/vpc-endpoint.jpeg)


 *Titik akhir VPC* 

 Titik akhir VPC streaming memungkinkan Anda melakukan streaming sesi melalui titik akhir VPC. Titik akhir antarmuka streaming mempertahankan lalu lintas streaming dalam VPC Anda. Lalu lintas streaming termasuk piksel, USB, input pengguna, audio, clipboard, unggahan dan unduhan file, dan lalu lintas printer. Untuk menggunakan titik akhir VPC, pengaturan titik akhir VPC harus diaktifkan di tumpukan Aplikasi. WorkSpaces Ini berfungsi sebagai alternatif untuk streaming sesi pengguna melalui internet publik dari lokasi yang memiliki akses internet terbatas dan akan mendapat manfaat dari mengakses melalui instance Direct Connect. Streaming sesi pengguna melalui titik akhir VPC memerlukan hal berikut: 
+  Grup Keamanan yang terkait dengan titik akhir antarmuka harus mengizinkan akses masuk ke port `443` (TCP) dan port `1400–1499` (TCP) dari rentang alamat IP dari mana pengguna Anda terhubung. 
+  Daftar Kontrol Akses Jaringan untuk subnet harus mengizinkan lalu lintas keluar dari port jaringan sementara `1024-65535` (TCP) ke rentang alamat IP dari mana pengguna Anda terhubung. 
+  Konektivitas internet diperlukan untuk mengautentikasi pengguna dan mengirimkan aset web yang dibutuhkan WorkSpaces Aplikasi untuk berfungsi. 

 Untuk mempelajari lebih lanjut tentang membatasi lalu lintas ke AWS layanan dengan WorkSpaces Aplikasi, lihat panduan administrasi untuk [https://docs.aws.amazon.com/appstream2/latest/developerguide/creating-streaming-from-interface-vpc-endpoints.html](https://docs.aws.amazon.com/appstream2/latest/developerguide/creating-streaming-from-interface-vpc-endpoints.html). 

 Ketika akses internet publik penuh diperlukan, itu adalah praktik terbaik untuk menonaktifkan Internet Explorer Enhanced Security Configuration (ESC) pada Image Builder. Untuk informasi selengkapnya, lihat panduan Administrasi WorkSpaces aplikasi untuk [https://docs.aws.amazon.com/appstream2/latest/developerguide/customize-fleets.html#customize-fleets-disable-ie-esc](https://docs.aws.amazon.com/appstream2/latest/developerguide/customize-fleets.html#customize-fleets-disable-ie-esc). 

## Mengonfigurasi Layanan Metadata Instance (IMDS) pada instans
<a name="configuring-imds"></a>

Topik ini menjelaskan Layanan Metadata Instance (IMDS).

*Metadata instans* adalah data yang terkait dengan instans Amazon Elastic Compute Cloud (Amazon EC2) yang dapat digunakan aplikasi untuk mengonfigurasi atau mengelola instans yang sedang berjalan. Layanan metadata instans (IMDS) adalah komponen pada instans yang menggunakan kode pada instans untuk mengakses metadata instans dengan aman. Untuk informasi selengkapnya, lihat [Metadata instans dan data pengguna](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-metadata.html) di Panduan Pengguna *Amazon EC2*.

Kode dapat mengakses metadata instance dari instance yang sedang berjalan menggunakan salah satu dari dua metode: Instance Metadata Service Version 1 (IMDSv1) atau Instance Metadata Service Version 2 (). IMDSv2 IMDSv2 menggunakan permintaan berorientasi sesi dan mengurangi beberapa jenis kerentanan yang dapat digunakan untuk mencoba mengakses IMDS. Untuk informasi tentang kedua metode ini, lihat [Mengonfigurasi layanan metadata instans di Panduan](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-service.html) Pengguna *Amazon* EC2.

### Dukungan sumber daya untuk IMDS
<a name="imds-resource-support"></a>

Armada Selalu Aktif, Sesuai Permintaan, Sesi Tunggal, dan Multi-Sesi, dan semua Pembuat Gambar mendukung keduanya IMDSv1 dan IMDSv2 saat menjalankan gambar WorkSpaces Aplikasi dengan versi agen atau pembaruan gambar terkelola yang dirilis pada atau setelah 16 Januari 2024.

Instans Armada dan AppBlock Pembangun Elastis juga mendukung keduanya dan IMDSv1 . IMDSv2

### Contoh pengaturan atribut IMDS
<a name="imds-examples"></a>

Di bawah ini adalah dua contoh memilih metode IMDS:

#### Contoh SDK Java v2
<a name="java-sdk-example"></a>

Di bawah contoh permintaan nonaktifkan IMDSv1 menggunakan `disableIMDSV1` atribut

```
CreateFleetRequest request = CreateFleetRequest.builder()
 .name("TestFleet")
 .imageArn("arn:aws:appstream:us-east-1::image/TestImage")
 .instanceType("stream.standard.large")
 .fleetType(FleetType.ALWAYS_ON)
 .computeCapacity(ComputeCapacity.builder()
 .desiredInstances(5)
 .build())
 .description("Test fleet description")
 .displayName("Test Fleet Display Name")
 .enableDefaultInternetAccess(true)
 .maxUserDurationInSeconds(3600)
 .disconnectTimeoutInSeconds(900)
 .idleDisconnectTimeoutInSeconds(600)
 .iamRoleArn("arn:aws:iam::123456789012:role/TestRole")
 .streamView(StreamView.APP)
 .platform(PlatformType.WINDOWS)
 .maxConcurrentSessions(10)
 .maxSessionsPerInstance(2)
 .tags(tags)
 .disableIMDSV1(true)
 .build();
```

Setel **nonaktifkan IMDSV1** ke true untuk menonaktifkan IMDSv1 dan menegakkan IMDSv2.

Setel **nonaktifkan IMDSV1** ke false untuk mengaktifkan keduanya IMDSv1 dan IMDSv2.

#### Contoh CLI
<a name="cli-example"></a>

Di bawah contoh permintaan nonaktifkan IMDSv1 menggunakan `--disable-imdsv1` atribut

```
aws appstream create-fleet --name test-fleet --image-arn "arn:aws:appstream:us-east-1::image/test-image" --disable-imdsv1 --instance-type stream.standard.small --compute-capacity DesiredInstances=2 --max-user-duration-in-seconds 57600 --disconnect-timeout-in-seconds 57600 --region us-east-1
```

Setel `--disable-imdsv1` ke true untuk menonaktifkan IMDSv1 dan menegakkan IMDSv2.

Setel `--no-disable-imdsv1` ke false untuk mengaktifkan keduanya IMDSv1 dan IMDSv2.