Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Protezione dei dati nelle WorkSpaces applicazioni Amazon
Il modello di [responsabilità AWS condivisa modello](https://aws.amazon.com/compliance/shared-responsibility-model/) di si applica alla protezione dei dati nelle WorkSpaces applicazioni Amazon. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i Cloud AWS. L'utente è responsabile di mantenere il controllo sui contenuti ospitati su questa infrastruttura. Questi contenuti comprendono la configurazione della protezione e le attività di gestione per i Servizi AWS utilizzati. Per ulteriori informazioni sulla privacy dei dati, vedi le [Domande frequenti sulla privacy dei dati](https://aws.amazon.com/compliance/data-privacy-faq). Per informazioni sulla protezione dei dati in Europa, consultare il post del blog relativo al [AWS Modello di responsabilità condivisa e GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) nel *AWS Blog sulla sicurezza*.
Ai fini della protezione dei dati, consigliamo di proteggere Account AWS le credenziali e di configurare i singoli utenti con AWS Identity and Access Management (IAM). In questo modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere il proprio lavoro. Ti suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
+ Utilizza l’autenticazione a più fattori (MFA) con ogni account.
+ SSL/TLS Da utilizzare per comunicare con AWS le risorse. Consigliamo TLS 1.2.
+ Configura l'API e la registrazione delle attività degli utenti con AWS CloudTrail.
+ Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno AWS dei servizi.
+ Utilizza i servizi di sicurezza gestiti avanzati, ad esempio Amazon Macie, che aiutano a individuare e proteggere i dati personali archiviati in Amazon S3.
+ Se hai bisogno di moduli crittografici convalidati FIPS 140-2 per l'accesso AWS tramite un'interfaccia a riga di comando o un'API, utilizza un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il [Federal Information Processing Standard (FIPS) 140-2](https://aws.amazon.com/compliance/fips/).
Ti suggeriamo vivamente di non inserire mai informazioni identificative sensibili, ad esempio i numeri di account dei clienti, in campi a formato libero, ad esempio un campo **Nome**. Ciò include quando si lavora con WorkSpaces Applicazioni o altri AWS servizi utilizzando la console, l'API o. AWS CLI AWS SDKs I dati inseriti nei tag o nei campi in formato libero utilizzati per i nomi possono essere utilizzati per i log di fatturazione o di diagnostica. Quando fornisci un URL a un server esterno, non includere informazioni sulle credenziali nell'URL per convalidare la tua richiesta a tale server.
**Topics**
+ [Crittografia dei dati inattivi](encryption-rest.md)
+ [Crittografia in transito](encryption-transit.md)
+ [Controlli amministratore](administrator-controls.md)
+ [Accesso all'applicazione](application-access.md)
# Crittografia dei dati inattivi
WorkSpaces Le istanze del parco applicazioni sono di natura effimera. Al termine della sessione di streaming di un utente, l'istanza sottostante e il relativo volume Amazon Elastic Block Store (Amazon EBS) associato vengono terminati. Inoltre, WorkSpaces Applications ricicla periodicamente le istanze inutilizzate per renderle più fresche.
Quando abiliti la [persistenza delle impostazioni delle applicazioni](how-it-works-app-settings-persistence.md), le [home folder](home-folders-admin.md), gli [script di sessione](enable-S3-bucket-storage-session-script-logs.md) o i [report sull'utilizzo](enable-usage-reports.md) dei tuoi utenti, i dati generati dagli utenti e archiviati nei bucket di Amazon Simple Storage Service vengono crittografati quando sono inattivi. AWS Key Management Service è un servizio che combina hardware e software sicuri e ad alta disponibilità per fornire un sistema di gestione delle chiavi scalabile per il cloud. Amazon S3 utilizza [AWS Managed CMKs](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk) per crittografare i dati degli oggetti Amazon S3.
# Crittografia in transito
Nella tabella seguente vengono fornite informazioni sulla crittografia dei dati in transito. Laddove applicabile, sono elencati anche altri metodi di protezione dei dati per WorkSpaces le Applicazioni.
| Dati | Percorso di rete | Modalità di protezione |
| --- | --- | --- |
| Asset Web Questo traffico include risorse come immagini e JavaScript file. | Tra WorkSpaces applicazioni, utenti e WorkSpaces applicazioni. | Crittografia eseguita mediante TLS 1.2 |
| Pixel e traffico di streaming correlato | Tra gli utenti WorkSpaces delle Applicazioni e WorkSpaces le Applicazioni | Crittografia eseguita mediante Advanced Encryption Standard a 256 bit (AES-256) Trasporto eseguito mediante TLS 1.2 |
| Traffico API | Tra gli utenti WorkSpaces delle Applicazioni e WorkSpaces le Applicazioni | Crittografia eseguita mediante TLS 1.2 Le richieste di creazione di una connessione vengono firmate utilizzando SigV4 |
| Impostazioni dell'applicazione e dati della home directory generati dagli utenti Applicabile quando la persistenza delle impostazioni dell'applicazione e le home directory sono abilitate. | Tra gli utenti WorkSpaces delle applicazioni e Amazon S3 | Crittografia eseguita mediante endpoint SSL Amazon S3 |
| WorkSpaces Traffico gestito dalle applicazioni | Tra le istanze di streaming WorkSpaces delle applicazioni e: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/appstream2/latest/developerguide/encryption-transit.html) | Crittografia eseguita mediante TLS 1.2 Le richieste di creazione di una connessione vengono firmate utilizzando SigV4 dove applicabile |
# Controlli amministratore
WorkSpaces Applications fornisce controlli amministrativi che è possibile utilizzare per limitare i modi in cui gli utenti possono trasferire dati tra il computer locale e un'istanza del parco WorkSpaces applicazioni. È possibile limitare o disabilitare quanto segue quando si [crea o si aggiorna uno stack di WorkSpaces applicazioni](set-up-stacks-fleets-install.md):
+ Appunti, azioni Copia e Incolla
+ Caricamento e download di file, incluso il reindirizzamento di cartelle e unità
+ Stampa
Quando si crea un'immagine WorkSpaces delle applicazioni, è possibile specificare quali dispositivi USB sono disponibili per il reindirizzamento alle istanze del parco WorkSpaces WorkSpaces applicazioni dal client Applications for Windows. I dispositivi USB specificati saranno disponibili per l'uso durante le sessioni di streaming WorkSpaces delle Applicazioni degli utenti. Per ulteriori informazioni, consulta [Qualificare i dispositivi USB affinché possano essere utilizzati con le applicazioni in streaming](qualify-usb-devices.md).
# Accesso all'applicazione
Per impostazione predefinita, WorkSpaces Applications consente alle applicazioni specificate nell'immagine di avviare altre applicazioni e file eseguibili sull'image builder e sull'istanza fleet. Ciò garantisce che le applicazioni con dipendenze da altre applicazioni (ad esempio, un'applicazione che avvia il browser per accedere a un sito Web del prodotto) funzionino come previsto. Assicurarsi di configurare i controlli amministrativi, i gruppi di sicurezza e altri software di sicurezza per concedere agli utenti le autorizzazioni minime necessarie per accedere alle risorse e trasferire i dati tra i computer locali e le istanze del parco macchine.
È possibile utilizzare software di controllo delle applicazioni, come [Microsoft AppLocker](https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/applocker/applocker-overview), e policy per controllare quali applicazioni e file possono essere eseguiti dagli utenti. Il software e le policy di controllo delle applicazioni consentono di controllare i file eseguibili, gli script, i file di installazione di Windows, le librerie a collegamento dinamico e i pacchetti di applicazioni che gli utenti possono eseguire sui generatori di immagini WorkSpaces delle applicazioni e sulle istanze Fleet.
**Nota**
Il software dell'agente WorkSpaces Applications si basa sul prompt dei comandi di Windows e su Windows Powershell per il provisioning delle istanze di streaming. Se si sceglie di impedire agli utenti di avviare il prompt dei comandi di Windows o Windows Powershell, i criteri non devono essere applicati a Windows NT AUTHORITY\$1SYSTEM o agli utenti del gruppo Amministratori.
| Tipo di regola | Azione | Utente o gruppo di Windows | Nome/Percorso | Condizione | Description |
| --- | --- | --- | --- | --- | --- |
| Eseguibile | Consenso | NT AUTHORITY\$1System | \$1 | Path | Obbligatorio per il software WorkSpaces Applications Agent |
| Eseguibile | Consenso | BUILTIN\$1Administrators | \$1 | Path | Richiesto per il software dell'agente WorkSpaces Applications |
| Eseguibile | Consenso | Tutti | %PROGRAMFILES%\$1nodejs\$1\$1 | Path | Richiesto per il software dell'agente WorkSpaces Applications |
| Eseguibile | Consenso | Tutti | %PROGRAMFILES%\$1 NICE\$1 \$1 | Path | Richiesto per il software dell'agente WorkSpaces Applications |
| Eseguibile | Consenso | Tutti | %PROGRAMFILES%\$1Amazon\$1\$1 | Path | Richiesto per il software dell'agente WorkSpaces Applications |
| Eseguibile | Consenso | Tutti | %PROGRAMFILES%\$1 < >\$1 \$1 default-browser | Path | Necessario per il software dell'agente WorkSpaces Applicazioni quando vengono utilizzate soluzioni di archiviazione persistenti, come Google Drive o Microsoft OneDrive for Business. Questa eccezione non è richiesta quando vengono utilizzate le cartelle home delle WorkSpaces applicazioni. |