Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Best practice di sicurezza nelle WorkSpaces applicazioni Amazon
La sicurezza cloud di Amazon Web Services (AWS) è la priorità più alta. La sicurezza e la conformità sono una responsabilità condivisa tra AWS e il cliente. Per ulteriori informazioni, consulta il [https://aws.amazon.com/compliance/shared-responsibility-model/](https://aws.amazon.com/compliance/shared-responsibility-model/). In qualità di cliente di AWS and WorkSpaces Applications, è importante implementare misure di sicurezza su diversi livelli, ad esempio stack, fleet, image e networking.
A causa della sua natura effimera, WorkSpaces Applications è spesso preferita come soluzione sicura per la distribuzione di applicazioni e desktop. Valuta se le soluzioni antivirus comuni nelle distribuzioni di Windows sono pertinenti nei casi d'uso per un ambiente predefinito ed eliminato alla fine di una sessione utente. L'antivirus aggiunge un sovraccarico alle istanze virtualizzate, quindi è una best practice per mitigare le attività non necessarie. Ad esempio, la scansione del volume di sistema (che è temporaneo) all'avvio, ad esempio, non aumenta la sicurezza complessiva delle applicazioni. WorkSpaces
Le due domande chiave per le WorkSpaces applicazioni di sicurezza sono incentrate su:
+ La persistenza dello stato utente oltre la sessione è un requisito?
+ Quanto accesso deve avere un utente all'interno di una sessione?
**Topics**
+ [Protezione dei dati persistenti](securing-persistent-data.md)
+ [Sicurezza degli endpoint e antivirus](endpoint-security-antivirus.md)
+ [Esclusioni di rete](network-exclusions.md)
+ [Protezione di una sessione di applicazioni WorkSpaces](securing-session.md)
+ [Firewall e routing](firewalls-routing.md)
+ [Prevenzione della perdita di dati](data-loss-prevention.md)
+ [Controllo del traffico in uscita](controlling-egress-traffic.md)
+ [Utilizzo dei servizi AWS](using-services.md)
# Protezione dei dati persistenti
Le distribuzioni di WorkSpaces applicazioni possono richiedere che lo stato dell'utente persista in qualche modo. Potrebbe trattarsi di rendere persistenti i dati per singoli utenti o di rendere persistenti i dati per la collaborazione utilizzando una cartella condivisa. AppStreamLo storage di istanze 2.0 è effimero e non prevede alcuna opzione di crittografia.
WorkSpaces Le applicazioni forniscono la persistenza dello stato utente tramite le cartelle home e le impostazioni delle applicazioni in Amazon S3. Alcuni casi d'uso richiedono un maggiore controllo sulla persistenza dello stato utente. Per questi casi d'uso, AWS consiglia di utilizzare una condivisione di file Server Message Block (SMB).
## Stato e dati dell'utente
Poiché la maggior parte delle applicazioni Windows offre prestazioni migliori e più sicure se collocate insieme ai dati delle applicazioni creati dall'utente, è consigliabile conservare questi dati nello stesso Regione AWS ambiente delle flotte di WorkSpaces applicazioni. La crittografia di questi dati è una procedura consigliata. Il comportamento predefinito della cartella home dell'utente consiste nel crittografare file e cartelle inattivi utilizzando chiavi di crittografia gestite da Amazon S3 dai servizi di gestione delle AWS chiavi ().AWS KMSÈ importante notare che gli utenti AWS amministrativi con accesso alla AWS console o al bucket Amazon S3 potranno accedere direttamente a tali file.
Nei progetti che richiedono un target Server Message Block (SMB) proveniente da una condivisione di file di Windows per archiviare file e cartelle utente, il processo è automatico o richiede una configurazione.
*Tabella 5 — Opzioni per la protezione dei dati degli utenti*
| **Obiettivo SMB** | **Encryption-at-rest** | **Encryption-in-transit** | **Antivirus (AV)** |
| --- | --- | --- | --- |
| FSx per Windows File Server | [https://docs.aws.amazon.com/fsx/latest/WindowsGuide/encryption-at-rest.html](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/encryption-at-rest.html) | [https://docs.aws.amazon.com/fsx/latest/WindowsGuide/encryption-in-transit.html](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/encryption-in-transit.html) | L'AV installato su un'istanza remota esegue la scansione sull'unità mappata |
| **Gateway di file, Gateway AWS di archiviazione** | Per impostazione predefinita, tutti i dati archiviati da Gateway di archiviazione AWS S3 sono crittografati lato server con Amazon S3 Managed Encryption Keys (SSE-S3). Facoltativamente, puoi configurare diversi tipi di gateway per crittografare i dati archiviati con (KMS) AWS Key Management Service | Tutti i dati trasferiti tra qualsiasi tipo di dispositivo gateway e AWS storage sono crittografati tramite SSL. | L'AV installato su un'istanza remota esegue la scansione sull'unità mappata |
| File server Windows basati su EC2 | [Abilita la crittografia EBS](https://docs.aws.amazon.com/kms/latest/developerguide/services-ebs.html) | PowerShell; Set- SmbServerConfiguration – EncryptData \$1True | L'AV installato sul server esegue la scansione sulle unità locali |
# Sicurezza degli endpoint e antivirus
La breve natura effimera delle istanze delle WorkSpaces applicazioni e la mancanza di persistenza dei dati richiedono un approccio diverso per garantire che l'esperienza utente e le prestazioni non siano compromesse da attività che sarebbero necessarie su un desktop persistente. Gli agenti di Endpoint Security vengono installati nelle immagini WorkSpaces delle Applicazioni quando esiste una politica organizzativa o quando vengono utilizzati con dati esterni, ad esempio e-mail, ingresso di file, navigazione Web esterna.
## Rimozione di identificatori univoci
Gli agenti di Endpoint Security possono avere un identificatore univoco globale (GUID) che deve essere reimpostato durante il processo di creazione del parco istanze. I fornitori dispongono di istruzioni sull'installazione dei loro prodotti nelle immagini che assicureranno la generazione di un nuovo GUID per ogni istanza generata da un'immagine.
Per garantire che il GUID non venga generato, installa l'agente Endpoint Security come ultima azione prima di eseguire l' WorkSpaces Applications Assistant per generare l'immagine.
## Ottimizzazione delle prestazioni
I fornitori di Endpoint Security forniscono switch e impostazioni che ottimizzano le prestazioni delle applicazioni. WorkSpaces Le impostazioni variano da un fornitore all'altro e sono disponibili nella relativa documentazione, in genere in una sezione dedicata alla VDI. Alcune impostazioni comuni includono, a titolo esemplificativo ma non esaustivo:
+ Disattiva le scansioni di avvio per garantire che i tempi di creazione, avvio e accesso delle istanze siano ridotti al minimo
+ Disattiva le scansioni pianificate per evitare scansioni non necessarie
+ Disattiva le cache delle firme per impedire l'enumerazione dei file
+ Abilita le impostazioni IO ottimizzate per VDI
+ Esclusioni richieste dalle applicazioni per garantire le prestazioni
I fornitori di sicurezza degli endpoint forniscono istruzioni per l'uso con ambienti desktop virtuali che ottimizzano le prestazioni.
+ [Supporto Trend Micro Office Scan per l'infrastruttura desktop virtuale - Apex One/ OfficeScan (](https://success.trendmicro.com/solution/1055260-best-practice-for-setting-up-virtual-desktop-infrastructure-vdi-in-officescan)trendmicro.com)
+ CrowdStrike e [come installare Falcon nel CrowdStrike ](https://www.crowdstrike.com/blog/tech-center/install-falcon-datacenter/) data center
+ Sophos e [Sophos Central Endpoint: Come eseguire l'installazione su un'immagine gold per evitare identità duplicate](https://support.sophos.com/support/s/article/KB-000035040?language=en_US) e [Sophos Central: best practice per l'installazione di Windows Endpoint in ambienti desktop virtuali](https://support.sophos.com/support/s/article/KB-000039009?language=en_US)
+ McAfee e il [provisioning e la distribuzione degli McAfee agenti](https://kc.mcafee.com/corporate/index?page=content&id=KB87654) su sistemi di infrastruttura desktop virtuale
+ Microsoft Endpoint Security e [configurazione di Microsoft Defender Antivirus per macchine VDI non persistenti](https://techcommunity.microsoft.com/t5/microsoft-defender-for-endpoint/configuring-microsoft-defender-antivirus-for-non-persistent-vdi/ba-p/1489633) - Microsoft Tech Community
## Esclusioni dalla scansione
Se il software di sicurezza è installato nelle istanze WorkSpaces delle Applicazioni, il software di sicurezza non deve interferire con i seguenti processi.
*Tabella 6 — Processi WorkSpaces applicativi Il software di sicurezza non deve interferire con i seguenti processi.*
| **Servizio** | **Processes** |
| --- | --- |
| AmazonCloudWatchAgent | «C:\$1Program Files\$1 Amazon\$1AmazonCloudWatchAgent\$1 start-amazon-cloudwatch-agent.exe» |
| AmazonSSMAgent | «C:\$1Program Files\$1 Amazon\$1 SSM\$1 amazon-ssm-agent .exe» |
| NICE DCV | "C:\$1Program File\$1 NICE\$1 DCV\$1 Server\$1 bin\$1 dcvserver.exe» "C:\$1Program File\$1 NICE\$1 DCV\$1 Server\$1 bin\$1 dcvagent.exe» |
| WorkSpaces Applicazioni | «C:\$1Program Files\$1 Amazon\$1 AppStream 2\$1StorageConnector\$1 StorageConnector .exe» Nella cartella "C:\$1Program Files\$1 Amazon\$1 Photon\$1» ». \$1 Agente\$1 PhotonAgent .exe» ». \$1 Agente\$1 s5cmd.exe» ». \$1WebServer\$1 PhotonAgentWebServer .exe» ». \$1CustomShell\$1 PhotonWindowsAppSwitcher .exe» ». \$1CustomShell\$1 PhotonWindowsCustomShell .exe» ». \$1CustomShell\$1 PhotonWindowsCustomShellBackground .exe» |
## Cartelle
Se il software di sicurezza è installato nelle istanze WorkSpaces delle Applicazioni, il software non deve interferire con le seguenti cartelle:
**Example**
```
C:\Program Files\Amazon\*
C:\ProgramData\Amazon\*
C:\Program Files (x86)\AWS Tools\*
C:\Program Files (x86)\AWS SDK for .NET\*
C:\Program Files\NICE\*
C:\ProgramData\NICE\*
C:\AppStream\*
```
## Igiene della console di sicurezza degli endpoint
WorkSpaces Le applicazioni creeranno nuove istanze uniche ogni volta che un utente si connette oltre i timeout di inattività e disconnessione. Le istanze avranno un nome univoco e verranno inserite nelle condoglianze di gestione della sicurezza degli endpoint. L'impostazione dell'eliminazione di macchine obsolete non utilizzate più vecchie di 4 o più giorni (o meno a seconda dei timeout WorkSpaces delle sessioni delle Applicazioni) ridurrà al minimo il numero di istanze scadute nella console.
# Esclusioni di rete
L'intervallo di rete di gestione delle WorkSpaces applicazioni (`198.19.0.0/16`) e le porte e gli indirizzi seguenti non devono essere bloccati da alcuna soluzione di sicurezza/firewall o antivirus all'interno WorkSpaces delle istanze di Applications.
*Tabella 7 — Porte nelle WorkSpaces Applicazioni, istanze in streaming, il software di sicurezza non deve interferire con*
| **Porta** | **Utilizzo** |
| --- | --- |
| 8300 | Viene utilizzato per stabilire la connessione di streaming |
| 3128 | Viene utilizzato per gestire l'istanza di streaming da parte WorkSpaces delle applicazioni |
| 8000 | Viene utilizzato per gestire l'istanza di streaming da parte WorkSpaces delle applicazioni |
| 8443 | Viene utilizzato per gestire l'istanza di streaming da parte WorkSpaces delle applicazioni |
| 53 | DNS |
*Tabella 8 — Gli indirizzi dei servizi gestiti WorkSpaces delle applicazioni con cui il software di sicurezza non deve interferire*
| **Porta** | **Utilizzo** |
| --- | --- |
| 169.254.169123 | NTP |
| 169,254,169,249 | Servizio di licenza NVIDIA GRID |
| 169,254,169,250 | KMS |
| 169,254,169,251 | KMS |
| 169,254,169,253 | DNS |
| 169,254,169,254 | Metadati |
# Protezione di una sessione di applicazioni WorkSpaces
## Limitazione dei controlli delle applicazioni e del sistema operativo
WorkSpaces Le applicazioni offrono all'amministratore la possibilità di specificare esattamente quali applicazioni possono essere avviate dalla pagina Web in modalità streaming delle applicazioni. Tuttavia, ciò non garantisce che possano essere eseguite solo le applicazioni specificate.
Le utilità e le applicazioni di Windows possono essere avviate tramite il sistema operativo con mezzi aggiuntivi. AWS consiglia di utilizzare [https://aws.amazon.com/blogs/desktop-and-application-streaming/using-microsoft-applocker-to-manage-application-experience-on-amazon-appstream-2-0/](https://aws.amazon.com/blogs/desktop-and-application-streaming/using-microsoft-applocker-to-manage-application-experience-on-amazon-appstream-2-0/) per garantire che possano essere eseguite solo le applicazioni richieste dall'organizzazione. Le regole predefinite devono essere modificate, in quanto garantiscono a tutti l'accesso tramite percorsi alle directory di sistema critiche.
**Nota**
Windows Server 2016 e 2019 richiedono l'esecuzione del servizio Windows Application Identity per applicare le regole AppLocker . L'accesso alle WorkSpaces applicazioni da Applicazioni che utilizzano Microsoft AppLocker è dettagliato nella [Guida per l'AppStream amministratore.](https://docs.aws.amazon.com/appstream2/latest/developerguide/data-protection.html#application-access)
Per le istanze del parco istanze unite a un dominio Active Directory, utilizzate Group Policy Objects (GPOs) per fornire impostazioni utente e di sistema per proteggere l'accesso alle applicazioni e alle risorse degli utenti.
# Firewall e routing
Quando si crea un parco di WorkSpaces applicazioni, è necessario assegnare sottoreti e un gruppo di sicurezza. Le sottoreti dispongono già delle assegnazioni delle liste di controllo dell'accesso alla rete (NACLs) e delle tabelle di routing. È possibile associare [fino a cinque gruppi di sicurezza](https://docs.aws.amazon.com/appstream2/latest/developerguide/managing-network-security-groups.html) durante l'avvio di un nuovo generatore di immagini o durante la creazione di una nuova flotta. I gruppi di sicurezza possono avere fino a [cinque assegnazioni tra](https://docs.aws.amazon.com/appstream2/latest/developerguide/managing-network-security-groups.html) i gruppi di sicurezza esistenti. Per ogni gruppo di sicurezza, aggiungi regole che controllano il traffico di rete in uscita e in entrata da e verso le tue istanze
Un NACL è un livello di sicurezza opzionale per il tuo VPC che funge da firewall stateless per controllare il traffico in entrata e in uscita da una o più sottoreti. Potresti configurare una rete ACLs con regole simili ai tuoi gruppi di sicurezza per aggiungere un ulteriore livello di sicurezza al tuo VPC. Per ulteriori informazioni sulle differenze tra gruppi di sicurezza e rete ACLs, [consulta la NACLs pagina di confronto tra gruppi di sicurezza e](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html#VPC_Security_Comparison) rete.
Quando progetti e applichi le regole Security Group e NACL, prendi in considerazione le best practice di AWS Well-Architected per il privilegio minimo. Il *privilegio minimo* è il principio di concessione solo delle autorizzazioni necessarie per completare un'attività.
Per i clienti che dispongono di una rete privata ad alta velocità che collega il proprio ambiente locale ad AWS (tramite AWS Direct Connect), potresti prendere in considerazione l'utilizzo degli endpoint VPC per AppStream, il che significa che il traffico di streaming verrà instradato tramite la connettività di rete privata anziché attraverso la rete Internet pubblica. Per ulteriori informazioni su questo argomento, consulta la sezione WorkSpaces Applications Streaming Interface VPC endpoint di questo documento.
# Prevenzione della perdita di dati
Esamineremo due tipi di prevenzione della perdita di dati.
## Controlli per il trasferimento dei dati da istanza Client a AppStream 2.0
*Tabella 9 — Linee guida per il controllo dell'ingresso e dell'uscita dei dati*
| **Impostazione** | **Opzioni** | **Linee guida** |
| --- | --- | --- |
| Appunti | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/appstream2/latest/developerguide/data-loss-prevention.html) | La disabilitazione di questa impostazione non disabilita il copia e incolla all'interno della sessione. Se è necessario copiare i dati nella sessione, scegliete Incolla solo nella sessione remota per ridurre al minimo il rischio di perdita di dati. |
| Trasferimento di file | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/appstream2/latest/developerguide/data-loss-prevention.html) | Evita di abilitare questa impostazione per prevenire la perdita di dati. |
| Stampa su dispositivo locale | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/appstream2/latest/developerguide/data-loss-prevention.html) | Se è necessaria la stampa, utilizzate stampanti mappate di rete controllate e monitorate dall'organizzazione. |
Considerate i vantaggi della soluzione esistente per il trasferimento dei dati organizzativi rispetto alle impostazioni dello stack. Queste configurazioni non sono progettate per sostituire una soluzione completa e sicura per il trasferimento dei dati.
# Controllo del traffico in uscita
Laddove la perdita di dati è un problema, è importante nascondere ciò a cui un utente può accedere una volta entrato nell'istanza WorkSpaces Applications. Che aspetto ha il percorso di uscita (o uscita) della rete? È un requisito comune che l'utente finale disponga dell'accesso pubblico a Internet all'interno dell'istanza WorkSpaces Applications, pertanto è necessario prendere in considerazione l'inserimento di una WebProxy o più soluzioni di filtraggio dei contenuti nel percorso di rete. Altre considerazioni includono un'applicazione antivirus locale e altre misure di sicurezza degli endpoint all'interno dell' AppStream istanza (per ulteriori informazioni, consulta la sezione «Endpoint Security and Antivirus»).
# Utilizzo dei servizi AWS
## AWS Identity and Access Management
L'utilizzo di un ruolo IAM per accedere ai AWS servizi e la specificità della policy IAM ad esso associata è una best practice che consente l'accesso solo agli utenti WorkSpaces delle sessioni delle Applicazioni senza dover gestire credenziali aggiuntive. Segui le [https://docs.aws.amazon.com/appstream2/latest/developerguide/using-iam-roles-to-grant-permissions-to-applications-scripts-streaming-instances.html#best-practices-for-using-iam-role-with-streaming-instances](https://docs.aws.amazon.com/appstream2/latest/developerguide/using-iam-roles-to-grant-permissions-to-applications-scripts-streaming-instances.html#best-practices-for-using-iam-role-with-streaming-instances).
Crea [https://docs.aws.amazon.com/appstream2/latest/developerguide/s3-iam-policy.html](https://docs.aws.amazon.com/appstream2/latest/developerguide/s3-iam-policy.html) creati per rendere persistenti i dati utente sia nelle cartelle home che nella persistenza delle impostazioni delle applicazioni. Ciò [https://docs.aws.amazon.com/appstream2/latest/developerguide/s3-iam-policy.html#s3-iam-policy-restricted-access](https://docs.aws.amazon.com/appstream2/latest/developerguide/s3-iam-policy.html#s3-iam-policy-restricted-access)
## Endpoint VPC
Un endpoint VPC consente connessioni private tra il tuo VPC e i servizi supportati AWS e i servizi endpoint VPC forniti da. AWS PrivateLink AWS PrivateLink è una tecnologia che consente di accedere in modo privato ai servizi utilizzando indirizzi IP privati. Il traffico tra il VPC e gli altri servizi rimane all’interno della rete Amazon. Se l'accesso pubblico a Internet è richiesto solo per AWS i servizi, gli endpoint VPC eliminano completamente il requisito dei gateway NAT e dei gateway Internet.
Negli ambienti in cui le routine di automazione o gli sviluppatori richiedono di effettuare chiamate API per WorkSpaces le applicazioni, [https://docs.aws.amazon.com/appstream2/latest/developerguide/access-api-cli-through-interface-vpc-endpoint.html](https://docs.aws.amazon.com/appstream2/latest/developerguide/access-api-cli-through-interface-vpc-endpoint.html) le operazioni API delle applicazioni. [https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateStreamingURL.html](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateStreamingURL.html) Il diagramma seguente mostra un esempio di configurazione in cui l'API WorkSpaces delle applicazioni e gli endpoint VPC di streaming vengono utilizzati dalle funzioni Lambda e dalle istanze EC2.
![\[Un diagramma dell'architettura di riferimento per l'endpoint VPC\]](http://docs.aws.amazon.com/it_it/appstream2/latest/developerguide/images/vpc-endpoint.jpeg)
*Endpoint VPC*
L'endpoint VPC di streaming consente di trasmettere sessioni tramite un endpoint VPC. L'endpoint dell'interfaccia di streaming gestisce il traffico di streaming all'interno del VPC. Il traffico in streaming include pixel, USB, input utente, audio, appunti, caricamento e download di file e traffico di stampanti. Per utilizzare l'endpoint VPC, l'impostazione dell'endpoint VPC deve essere abilitata nello stack Applicazioni. WorkSpaces Ciò rappresenta un'alternativa allo streaming di sessioni utente sulla rete Internet pubblica da postazioni con accesso limitato a Internet e che trarrebbero vantaggio dall'accesso tramite un'istanza Direct Connect. Lo streaming delle sessioni utente tramite un endpoint VPC richiede quanto segue:
+ I gruppi di sicurezza associati all'endpoint di interfaccia devono consentire l'accesso in entrata alla porta `443` (TCP) e alle porte `1400–1499` (TCP) dall'intervallo di indirizzi IP da cui gli utenti si connettono.
+ L'elenco di controllo dell'accesso alla rete per le sottoreti deve consentire il traffico in uscita dalle porte di rete temporanee `1024-65535` (TCP) all'intervallo di indirizzi IP da cui gli utenti si connettono.
+ La connettività Internet è necessaria per autenticare gli utenti e fornire le risorse Web necessarie alle applicazioni per funzionare. WorkSpaces
Per ulteriori informazioni sulla limitazione del traffico ai AWS servizi con WorkSpaces Applicazioni, consulta la guida amministrativa per la [https://docs.aws.amazon.com/appstream2/latest/developerguide/creating-streaming-from-interface-vpc-endpoints.html](https://docs.aws.amazon.com/appstream2/latest/developerguide/creating-streaming-from-interface-vpc-endpoints.html).
Quando è richiesto l'accesso pubblico completo a Internet, è consigliabile disattivare Internet Explorer Enhanced Security Configuration (ESC) su Image Builder. Per ulteriori informazioni, consulta la guida all'amministrazione delle WorkSpaces applicazioni per [https://docs.aws.amazon.com/appstream2/latest/developerguide/customize-fleets.html#customize-fleets-disable-ie-esc](https://docs.aws.amazon.com/appstream2/latest/developerguide/customize-fleets.html#customize-fleets-disable-ie-esc).
## Configurazione dell'Instance Metadata Service (IMDS) sulle istanze
Questo argomento descrive l'Instance Metadata Service (IMDS).
*I metadati dell'istanza* sono dati relativi all'istanza Amazon Elastic Compute Cloud (Amazon EC2) che le applicazioni possono utilizzare per configurare o gestire un'istanza in esecuzione. Il servizio di metadati dell'istanza (IMDS) è un componente dell'istanza utilizzato dal codice sull'istanza per accedere in modo sicuro ai metadati dell'istanza. Per ulteriori informazioni, consulta [Metadati e dati dell'utente delle istanze](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-metadata.html) nella *Guida per l'utente di Amazon EC2*.
Il codice può accedere ai metadati dell'istanza da un'istanza in esecuzione utilizzando uno dei due metodi seguenti: Instance Metadata Service Version 1 (IMDSv1) o Instance Metadata Service Version 2 (). IMDSv2 IMDSv2 utilizza richieste orientate alla sessione e mitiga diversi tipi di vulnerabilità che potrebbero essere utilizzate per tentare di accedere all'IMDS. Per informazioni su questi due metodi, consulta [Configurazione del servizio di metadati dell'istanza](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-service.html) nella *Amazon EC2* User Guide.
### Supporto di risorse per IMDS
Le flotte Always-On, On-Demand, a sessione singola e multisessione e tutti gli Image Builder supportano sia IMDSv1 le immagini WorkSpaces delle applicazioni che IMDSv2 durante l'esecuzione delle immagini con la versione agente o l'aggiornamento dell'immagine gestita rilasciato a partire dal 16 gennaio 2024.
Le istanze Elastic Fleets and Builders supportano anche entrambi e. AppBlock IMDSv1 IMDSv2
### Esempio di impostazioni degli attributi IMDS
Di seguito sono riportati due esempi di scelta del metodo IMDS:
#### Esempio di Java v2 SDK
Di seguito l'esempio di richiesta di disabilitazione IMDSv1 utilizzando gli attributi `disableIMDSV1`
```
CreateFleetRequest request = CreateFleetRequest.builder()
.name("TestFleet")
.imageArn("arn:aws:appstream:us-east-1::image/TestImage")
.instanceType("stream.standard.large")
.fleetType(FleetType.ALWAYS_ON)
.computeCapacity(ComputeCapacity.builder()
.desiredInstances(5)
.build())
.description("Test fleet description")
.displayName("Test Fleet Display Name")
.enableDefaultInternetAccess(true)
.maxUserDurationInSeconds(3600)
.disconnectTimeoutInSeconds(900)
.idleDisconnectTimeoutInSeconds(600)
.iamRoleArn("arn:aws:iam::123456789012:role/TestRole")
.streamView(StreamView.APP)
.platform(PlatformType.WINDOWS)
.maxConcurrentSessions(10)
.maxSessionsPerInstance(2)
.tags(tags)
.disableIMDSV1(true)
.build();
```
Imposta **disable IMDSV1** su true per disabilitare IMDSv1 e applicare IMDSv2.
Imposta **disable IMDSV1** su false per abilitare entrambi IMDSv1 e IMDSv2.
#### Esempio di CLI
Di seguito l'esempio di richiesta di disabilitazione IMDSv1 utilizzando `--disable-imdsv1` gli attributi
```
aws appstream create-fleet --name test-fleet --image-arn "arn:aws:appstream:us-east-1::image/test-image" --disable-imdsv1 --instance-type stream.standard.small --compute-capacity DesiredInstances=2 --max-user-duration-in-seconds 57600 --disconnect-timeout-in-seconds 57600 --region us-east-1
```
Imposta `--disable-imdsv1` su true per disabilitare IMDSv1 e applicare IMDSv2.
Imposta `--no-disable-imdsv1` su false per abilitare entrambi IMDSv1 e IMDSv2.