Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Sicurezza nelle WorkSpaces applicazioni Amazon
La sicurezza del cloud AWS è la massima priorità. In qualità di AWS cliente, puoi beneficiare di un data center e di un'architettura di rete progettati per soddisfare i requisiti delle organizzazioni più sensibili alla sicurezza.
La sicurezza è una responsabilità condivisa tra AWS te e te. Il [modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) descrive questo modello come sicurezza del cloud e sicurezza nel cloud:
+ **Sicurezza del cloud**: AWS è responsabile della protezione dell'infrastruttura che gestisce AWS i servizi nel AWS cloud. AWS ti fornisce anche servizi che puoi utilizzare in modo sicuro. I revisori esterni testano e verificano regolarmente l'efficacia della nostra sicurezza nell'ambito dei [AWS Programmi di AWS conformità dei Programmi di conformità](https://aws.amazon.com/compliance/programs/) dei di . Per informazioni sui programmi di conformità applicabili alle WorkSpaces applicazioni, vedere [AWS Servizi nell'ambito del programma di conformitàAWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Sicurezza nel cloud**: la responsabilità dell'utente è determinata dal AWS servizio che utilizza. Sei anche responsabile di altri fattori, tra cui la riservatezza dei dati, i tuoi requisiti aziendali e le leggi e le normative applicabili
Questa documentazione aiuta a capire come applicare il modello di responsabilità condivisa quando si utilizzano WorkSpaces le applicazioni. Mostra come configurare WorkSpaces le applicazioni per soddisfare gli obiettivi di sicurezza e conformità. Imparerai anche come utilizzare altri AWS servizi che ti aiutano a monitorare e proteggere WorkSpaces le risorse delle tue Applicazioni.
**Topics**
+ [
# Protezione dei dati nelle WorkSpaces applicazioni Amazon
](data-protection.md)
+ [
# Identity and Access Management per WorkSpaces applicazioni Amazon
](controlling-access.md)
+ [
# Registrazione e monitoraggio nelle applicazioni Amazon WorkSpaces
](logging-monitoring-alerting.md)
+ [
# Convalida della conformità per le applicazioni Amazon WorkSpaces
](compliance-validation.md)
+ [
# Resilienza nelle applicazioni Amazon WorkSpaces
](disaster-recovery-resiliency.md)
+ [
# Sicurezza dell'infrastruttura nelle WorkSpaces applicazioni Amazon
](infrastructure-security.md)
+ [
# Gruppi di sicurezza nelle WorkSpaces applicazioni Amazon
](managing-network-security-groups.md)
+ [
# Gestione degli aggiornamenti nelle WorkSpaces applicazioni Amazon
](update-management.md)
+ [
# Amazon WorkSpaces Applications Cross-Service Confused Deputy Prevention
](confused-deputy.md)
+ [
# Best practice di sicurezza nelle WorkSpaces applicazioni Amazon
](security-best-practices.md)
# Protezione dei dati nelle WorkSpaces applicazioni Amazon
Il modello di [responsabilità AWS condivisa modello](https://aws.amazon.com/compliance/shared-responsibility-model/) di si applica alla protezione dei dati nelle WorkSpaces applicazioni Amazon. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i Cloud AWS. L'utente è responsabile di mantenere il controllo sui contenuti ospitati su questa infrastruttura. Questi contenuti comprendono la configurazione della protezione e le attività di gestione per i Servizi AWS utilizzati. Per ulteriori informazioni sulla privacy dei dati, vedi le [Domande frequenti sulla privacy dei dati](https://aws.amazon.com/compliance/data-privacy-faq). Per informazioni sulla protezione dei dati in Europa, consultare il post del blog relativo al [AWS Modello di responsabilità condivisa e GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) nel *AWS Blog sulla sicurezza*.
Ai fini della protezione dei dati, consigliamo di proteggere Account AWS le credenziali e di configurare i singoli utenti con AWS Identity and Access Management (IAM). In questo modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere il proprio lavoro. Ti suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
+ Utilizza l’autenticazione a più fattori (MFA) con ogni account.
+ SSL/TLS Da utilizzare per comunicare con AWS le risorse. Consigliamo TLS 1.2.
+ Configura l'API e la registrazione delle attività degli utenti con AWS CloudTrail.
+ Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno AWS dei servizi.
+ Utilizza i servizi di sicurezza gestiti avanzati, ad esempio Amazon Macie, che aiutano a individuare e proteggere i dati personali archiviati in Amazon S3.
+ Se hai bisogno di moduli crittografici convalidati FIPS 140-2 per l'accesso AWS tramite un'interfaccia a riga di comando o un'API, utilizza un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il [Federal Information Processing Standard (FIPS) 140-2](https://aws.amazon.com/compliance/fips/).
Ti suggeriamo vivamente di non inserire mai informazioni identificative sensibili, ad esempio i numeri di account dei clienti, in campi a formato libero, ad esempio un campo **Nome**. Ciò include quando si lavora con WorkSpaces Applicazioni o altri AWS servizi utilizzando la console, l'API o. AWS CLI AWS SDKs I dati inseriti nei tag o nei campi in formato libero utilizzati per i nomi possono essere utilizzati per i log di fatturazione o di diagnostica. Quando fornisci un URL a un server esterno, non includere informazioni sulle credenziali nell'URL per convalidare la tua richiesta a tale server.
**Topics**
+ [
# Crittografia dei dati inattivi
](encryption-rest.md)
+ [
# Crittografia in transito
](encryption-transit.md)
+ [
# Controlli amministratore
](administrator-controls.md)
+ [
# Accesso all'applicazione
](application-access.md)
# Crittografia dei dati inattivi
WorkSpaces Le istanze del parco applicazioni sono di natura effimera. Al termine della sessione di streaming di un utente, l'istanza sottostante e il relativo volume Amazon Elastic Block Store (Amazon EBS) associato vengono terminati. Inoltre, WorkSpaces Applications ricicla periodicamente le istanze inutilizzate per renderle più fresche.
Quando abiliti la [persistenza delle impostazioni delle applicazioni](how-it-works-app-settings-persistence.md), le [home folder](home-folders-admin.md), gli [script di sessione](enable-S3-bucket-storage-session-script-logs.md) o i [report sull'utilizzo](enable-usage-reports.md) dei tuoi utenti, i dati generati dagli utenti e archiviati nei bucket di Amazon Simple Storage Service vengono crittografati quando sono inattivi. AWS Key Management Service è un servizio che combina hardware e software sicuri e ad alta disponibilità per fornire un sistema di gestione delle chiavi scalabile per il cloud. Amazon S3 utilizza [AWS Managed CMKs](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk) per crittografare i dati degli oggetti Amazon S3.
# Crittografia in transito
Nella tabella seguente vengono fornite informazioni sulla crittografia dei dati in transito. Laddove applicabile, sono elencati anche altri metodi di protezione dei dati per WorkSpaces le Applicazioni.
| Dati | Percorso di rete | Modalità di protezione |
| --- | --- | --- |
| Asset Web Questo traffico include risorse come immagini e JavaScript file. | Tra WorkSpaces applicazioni, utenti e WorkSpaces applicazioni. | Crittografia eseguita mediante TLS 1.2 |
| Pixel e traffico di streaming correlato | Tra gli utenti WorkSpaces delle Applicazioni e WorkSpaces le Applicazioni | Crittografia eseguita mediante Advanced Encryption Standard a 256 bit (AES-256) Trasporto eseguito mediante TLS 1.2 |
| Traffico API | Tra gli utenti WorkSpaces delle Applicazioni e WorkSpaces le Applicazioni | Crittografia eseguita mediante TLS 1.2 Le richieste di creazione di una connessione vengono firmate utilizzando SigV4 |
| Impostazioni dell'applicazione e dati della home directory generati dagli utenti Applicabile quando la persistenza delle impostazioni dell'applicazione e le home directory sono abilitate. | Tra gli utenti WorkSpaces delle applicazioni e Amazon S3 | Crittografia eseguita mediante endpoint SSL Amazon S3 |
| WorkSpaces Traffico gestito dalle applicazioni | Tra le istanze di streaming WorkSpaces delle applicazioni e: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/appstream2/latest/developerguide/encryption-transit.html) | Crittografia eseguita mediante TLS 1.2 Le richieste di creazione di una connessione vengono firmate utilizzando SigV4 dove applicabile |
# Controlli amministratore
WorkSpaces Applications fornisce controlli amministrativi che è possibile utilizzare per limitare i modi in cui gli utenti possono trasferire dati tra il computer locale e un'istanza del parco WorkSpaces applicazioni. È possibile limitare o disabilitare quanto segue quando si [crea o si aggiorna uno stack di WorkSpaces applicazioni](set-up-stacks-fleets-install.md):
+ Appunti, azioni Copia e Incolla
+ Caricamento e download di file, incluso il reindirizzamento di cartelle e unità
+ Stampa
Quando si crea un'immagine WorkSpaces delle applicazioni, è possibile specificare quali dispositivi USB sono disponibili per il reindirizzamento alle istanze del parco WorkSpaces WorkSpaces applicazioni dal client Applications for Windows. I dispositivi USB specificati saranno disponibili per l'uso durante le sessioni di streaming WorkSpaces delle Applicazioni degli utenti. Per ulteriori informazioni, consulta [Qualificare i dispositivi USB affinché possano essere utilizzati con le applicazioni in streaming](qualify-usb-devices.md).
# Accesso all'applicazione
Per impostazione predefinita, WorkSpaces Applications consente alle applicazioni specificate nell'immagine di avviare altre applicazioni e file eseguibili sull'image builder e sull'istanza fleet. Ciò garantisce che le applicazioni con dipendenze da altre applicazioni (ad esempio, un'applicazione che avvia il browser per accedere a un sito Web del prodotto) funzionino come previsto. Assicurarsi di configurare i controlli amministrativi, i gruppi di sicurezza e altri software di sicurezza per concedere agli utenti le autorizzazioni minime necessarie per accedere alle risorse e trasferire i dati tra i computer locali e le istanze del parco macchine.
È possibile utilizzare software di controllo delle applicazioni, come [Microsoft AppLocker](https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/applocker/applocker-overview), e policy per controllare quali applicazioni e file possono essere eseguiti dagli utenti. Il software e le policy di controllo delle applicazioni consentono di controllare i file eseguibili, gli script, i file di installazione di Windows, le librerie a collegamento dinamico e i pacchetti di applicazioni che gli utenti possono eseguire sui generatori di immagini WorkSpaces delle applicazioni e sulle istanze Fleet.
**Nota**
Il software dell'agente WorkSpaces Applications si basa sul prompt dei comandi di Windows e su Windows Powershell per il provisioning delle istanze di streaming. Se si sceglie di impedire agli utenti di avviare il prompt dei comandi di Windows o Windows Powershell, i criteri non devono essere applicati a Windows NT AUTHORITY\$1SYSTEM o agli utenti del gruppo Amministratori.
| Tipo di regola | Azione | Utente o gruppo di Windows | Nome/Percorso | Condizione | Description |
| --- | --- | --- | --- | --- | --- |
| Eseguibile | Consenso | NT AUTHORITY\$1System | \$1 | Path | Obbligatorio per il software WorkSpaces Applications Agent |
| Eseguibile | Consenso | BUILTIN\$1Administrators | \$1 | Path | Richiesto per il software dell'agente WorkSpaces Applications |
| Eseguibile | Consenso | Tutti | %PROGRAMFILES%\$1nodejs\$1\$1 | Path | Richiesto per il software dell'agente WorkSpaces Applications |
| Eseguibile | Consenso | Tutti | %PROGRAMFILES%\$1 NICE\$1 \$1 | Path | Richiesto per il software dell'agente WorkSpaces Applications |
| Eseguibile | Consenso | Tutti | %PROGRAMFILES%\$1Amazon\$1\$1 | Path | Richiesto per il software dell'agente WorkSpaces Applications |
| Eseguibile | Consenso | Tutti | %PROGRAMFILES%\$1 < >\$1 \$1 default-browser | Path | Necessario per il software dell'agente WorkSpaces Applicazioni quando vengono utilizzate soluzioni di archiviazione persistenti, come Google Drive o Microsoft OneDrive for Business. Questa eccezione non è richiesta quando vengono utilizzate le cartelle home delle WorkSpaces applicazioni. |
# Identity and Access Management per WorkSpaces applicazioni Amazon
Le tue credenziali di sicurezza ti identificano nei servizi di AWS e ti garantiscono un uso illimitato delle tue AWS risorse, come le risorse delle WorkSpaces Applicazioni. Puoi utilizzare le funzionalità di WorkSpaces Applicazioni e AWS Identity and Access Management (IAM) per consentire ad altri utenti, servizi e applicazioni di utilizzare le risorse delle tue WorkSpaces Applicazioni senza condividere le tue credenziali di sicurezza.
Puoi utilizzare IAM per controllare il modo in cui gli altri utenti utilizzano le risorse nel tuo account Amazon Web Services e puoi utilizzare i gruppi di sicurezza per controllare l'accesso alle istanze di streaming WorkSpaces delle tue applicazioni. Puoi consentire l'uso completo o limitato delle risorse delle tue WorkSpaces Applicazioni.
**Topics**
+ [
# Accesso di rete all'istanza di streaming
](network-access-to-streaming-instances.md)
+ [
# Utilizzo di policy AWS gestite e ruoli collegati per gestire l'accesso degli amministratori alle risorse WorkSpaces delle applicazioni
](controlling-administrator-access-with-policies-roles.md)
+ [
# Utilizzo delle policy IAM per gestire l'accesso degli amministratori ad Application Auto Scaling
](autoscaling-iam-policy.md)
+ [
# Utilizzo delle policy IAM per la gestione dell'accesso amministratore al bucket Amazon S3 per le home directory e la persistenza delle impostazioni dell'applicazione
](s3-iam-policy.md)
+ [
# Utilizzo di un ruolo IAM per concedere autorizzazioni ad applicazioni e script in esecuzione su istanze di streaming di applicazioni WorkSpaces
](using-iam-roles-to-grant-permissions-to-applications-scripts-streaming-instances.md)
+ [
# SELinux su Red Hat Enterprise Linux e Rocky Linux
](selinux.md)
+ [
# Autenticazione basata sui cookie nelle applicazioni Amazon WorkSpaces
](cookie-auth.md)
# Accesso di rete all'istanza di streaming
Un gruppo di sicurezza funge da firewall stateful che controlla il traffico che è autorizzato a raggiungere le istanze di streaming. Quando avvii un'istanza di streaming di WorkSpaces Applicazioni, assegnala a uno o più gruppi di sicurezza. Quindi, aggiungere regole a ogni gruppo di sicurezza che controllano il traffico per l'istanza. È possibile modificare le regole di un gruppo di sicurezza in qualsiasi momento. Le nuove regole vengono applicate automaticamente a tutte le istanze a cui è assegnato il gruppo di sicurezza.
Per ulteriori informazioni, consulta [Gruppi di sicurezza nelle WorkSpaces applicazioni Amazon](managing-network-security-groups.md).
# Utilizzo di policy AWS gestite e ruoli collegati per gestire l'accesso degli amministratori alle risorse WorkSpaces delle applicazioni
Per impostazione predefinita, gli utenti IAM non dispongono delle autorizzazioni necessarie per creare o modificare WorkSpaces le risorse delle applicazioni o eseguire attività utilizzando l'API WorkSpaces delle applicazioni. Ciò significa che questi utenti non possono eseguire queste azioni nella console WorkSpaces Applicazioni o utilizzando i comandi AWS CLI WorkSpaces delle applicazioni. Per consentire agli utenti IAM di creare o modificare risorse ed eseguire attività, collega una policy IAM agli utenti o ai gruppi IAM che richiedono tali autorizzazioni.
Quando colleghi una policy a un utente, un gruppo di utenti o un a un ruolo IAM, l'autorizzazione per eseguire attività specificate sulle risorse specificate viene concessa o rifiutata agli utenti.
**Topics**
+ [
# AWS Politiche gestite necessarie per accedere alle risorse WorkSpaces delle applicazioni
](managed-policies-required-to-access-appstream-resources.md)
+ [
# Ruoli richiesti per WorkSpaces Applications, Application Auto Scaling e AWS Certificate Manager Private CA
](roles-required-for-appstream.md)
+ [
# Verifica del ruolo e delle politiche del servizio AmazonAppStreamServiceAccess
](controlling-access-checking-for-iam-service-access.md)
+ [
# Verifica del ruolo di servizio e delle policy ApplicationAutoScalingForAmazonAppStreamAccess
](controlling-access-checking-for-iam-autoscaling.md)
+ [
# Verifica del ruolo e delle policy `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` collegati al servizio
](controlling-access-checking-for-iam-service-linked-role-application-autoscaling-appstream-fleet.md)
+ [
# Verifica del ruolo e delle politiche del AmazonAppStream PCAAccess servizio
](controlling-access-checking-for-AppStreamPCAAccess.md)
# AWS Politiche gestite necessarie per accedere alle risorse WorkSpaces delle applicazioni
Per fornire un accesso amministrativo completo o di sola lettura alle WorkSpaces applicazioni, è necessario collegare una delle seguenti policy AWS gestite agli utenti o ai gruppi IAM che richiedono tali autorizzazioni. Una *policy gestita da AWS * è una policy autonoma che viene creata e amministrata da AWS. Per ulteriori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'utente di IAM*.
**Nota**
Nel AWS, i ruoli IAM vengono utilizzati per concedere autorizzazioni a un AWS servizio in modo che possa accedere alle risorse. AWS Le policy associate al ruolo determinano a quali AWS risorse il servizio può accedere e cosa può fare con tali risorse. Per WorkSpaces le applicazioni, oltre a disporre delle autorizzazioni definite nella **AmazonAppStreamFullAccess**politica, è necessario disporre anche dei ruoli richiesti nell' AWS account. Per ulteriori informazioni, consulta [Ruoli richiesti per WorkSpaces Applications, Application Auto Scaling e AWS Certificate Manager Private CA](roles-required-for-appstream.md).
**AmazonAppStreamFullAccess**
Questa politica gestita fornisce l'accesso amministrativo completo alle risorse delle WorkSpaces applicazioni. Per gestire WorkSpaces le risorse delle applicazioni ed eseguire azioni API tramite l'interfaccia a riga di AWS comando (AWS CLI), l' AWS SDK o la console di AWS gestione, è necessario disporre delle autorizzazioni definite in questa politica.
Se accedi alla console delle WorkSpaces applicazioni come utente IAM, devi allegare questa policy al tuo. Account AWS Se accedi con la federazione della console, devi collegare questa policy al ruolo IAM utilizzato per la federazione.
Per visualizzare le autorizzazioni relative a questa politica, consulta [AmazonAppStreamFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamFullAccess.html).
**AmazonAppStreamReadOnlyAccess**
Questa politica basata sull'identità concede agli utenti autorizzazioni di sola lettura per visualizzare e monitorare le risorse delle applicazioni e le relative configurazioni dei servizi. WorkSpaces Gli utenti possono accedere alla console delle WorkSpaces applicazioni per visualizzare le applicazioni di streaming, lo stato del parco veicoli, i report sull'utilizzo e le risorse associate, ma non possono apportare modifiche. La policy include anche le autorizzazioni di lettura necessarie per supportare servizi come IAM, Application Auto Scaling CloudWatch e per abilitare funzionalità complete di monitoraggio e reporting.
Per visualizzare le autorizzazioni relative a questa politica, consulta. [AmazonAppStreamReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamReadOnlyAccess.html)
La console WorkSpaces Applicazioni utilizza un'azione aggiuntiva che fornisce funzionalità non disponibili tramite AWS CLI o AWS SDK. Le **AmazonAppStreamReadOnlyAccess**politiche **AmazonAppStreamFullAccess**and forniscono entrambe le autorizzazioni per l'azione seguente.
| Azione | Description | Livello di accesso |
| --- | --- | --- |
| DescribeImageBuilders | Se vengono forniti i nomi degli sviluppatori di immagini, concede l'autorizzazione per recuperare un elenco che descrive uno o più image builder. In caso contrario, sono descritti tutti gli sviluppatori di immagini nell'account | Lettura |
**AmazonAppStreamPCAAccess**
Questa politica gestita fornisce l'accesso amministrativo completo alle risorse CA private di AWS Certificate Manager nel tuo AWS account per l'autenticazione basata su certificati.
Per visualizzare le autorizzazioni relative a questa politica, consulta. [AmazonAppStreamPCAAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamPCAAccess.html)
**AmazonAppStreamServiceAccess**
Questa politica gestita è la politica predefinita per il ruolo di servizio WorkSpaces Applicazioni.
Questa politica di autorizzazione dei ruoli consente alle WorkSpaces applicazioni di completare le seguenti azioni:
+ Quando si utilizzano le sottoreti nell'account per WorkSpaces le flotte di WorkSpaces applicazioni, Applications è in grado di descrivere le sottoreti e le zone di disponibilità VPCs, nonché di creare e gestire il ciclo di vita di tutte le interfacce di rete elastiche associate alle istanze della flotta in tali sottoreti. Ciò include anche la possibilità di collegare gruppi di sicurezza e indirizzi IP da tali sottoreti a tali interfacce di rete elastiche.
+ Quando utilizza funzionalità come UPP e HomeFolders, WorkSpaces Applications è in grado di creare e gestire bucket Amazon S3, oggetti e relativi cicli di vita, policy e configurazione di crittografia nell'account. Questi bucket includono i seguenti prefissi di denominazione:
+ `"arn:aws:s3:::appstream2-36fb080bb8-",`
+ `"arn:aws:s3:::appstream-app-settings-",`
+ `"arn:aws:s3:::appstream-logs-"`
Per visualizzare le autorizzazioni relative a questa politica, vedere. [AmazonAppStreamServiceAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamServiceAccess.html)
**ApplicationAutoScalingForAmazonAppStreamAccess**
Questa policy gestita consente la scalabilità automatica delle applicazioni per le applicazioni. WorkSpaces
Per visualizzare le autorizzazioni relative a questa politica, vedere. [ApplicationAutoScalingForAmazonAppStreamAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ApplicationAutoScalingForAmazonAppStreamAccess.html)
**AWSApplicationAutoscalingAppStreamFleetPolicy**
Questa politica gestita concede le autorizzazioni per Application Auto Scaling per accedere alle WorkSpaces applicazioni e. CloudWatch
Per visualizzare le autorizzazioni relative a questa politica, vedere. [AWSApplicationAutoscalingAppStreamFleetPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSApplicationAutoscalingAppStreamFleetPolicy.html)
## WorkSpaces Aggiornamenti delle applicazioni alle politiche AWS gestite
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per le WorkSpaces applicazioni da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per gli avvisi automatici sulle modifiche apportate alla pagina, iscriviti al feed RSS alla pagina [Cronologia dei documenti per WorkSpaces le applicazioni Amazon](doc-history.md).
| Modifica | Descrizione | Data |
| --- | --- | --- |
| AmazonAppStreamServiceAccess — Modifica | Sono state aggiunte le autorizzazioni di autorizzazione `"ec2:DescribeImages"` per il documento di policy JSON | 17 novembre 2025 |
| AmazonAppStreamReadOnlyAccess — Cambia | Rimosso `"appstream:Get*",` dal documento di policy JSON | 22 ottobre 2025 |
| WorkSpaces Le applicazioni hanno iniziato a tracciare le modifiche | WorkSpaces Le applicazioni hanno iniziato a tenere traccia delle modifiche relative alle politiche AWS gestite | 31 ottobre 2022 |
# Ruoli richiesti per WorkSpaces Applications, Application Auto Scaling e AWS Certificate Manager Private CA
Nel AWS, i ruoli IAM vengono utilizzati per concedere autorizzazioni a un AWS servizio in modo che possa accedere alle AWS risorse. Le policy associate al ruolo determinano a quali AWS risorse il servizio può accedere e cosa può fare con tali risorse. Per WorkSpaces le applicazioni, oltre a disporre delle autorizzazioni definite nella **AmazonAppStreamFullAccess**politica, è necessario disporre anche dei seguenti ruoli nell' AWS account.
**Topics**
+ [
## AmazonAppStreamServiceAccess
](#AmazonAppStreamServiceAccess)
+ [
## ApplicationAutoScalingForAmazonAppStreamAccess
](#ApplicationAutoScalingForAmazonAppStreamAccess)
+ [
## AWSServiceRoleForApplicationAutoScaling\$1AppStreamFleet
](#AWSServiceRoleForApplicationAutoScaling_AppStreamFleet)
+ [
## AmazonAppStreamPCAAccess
](#AppStreamPCAAccess)
## AmazonAppStreamServiceAccess
Questo ruolo è un ruolo di servizio che viene creato automaticamente quando inizi a utilizzare WorkSpaces Applicazioni in una AWS regione. Per ulteriori informazioni sui ruoli dei servizi, consulta [Creazione di un ruolo per delegare le autorizzazioni a un AWS servizio nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) per l'*utente IAM*.
Durante la creazione delle risorse delle WorkSpaces Applicazioni, il servizio WorkSpaces Applicazioni effettua chiamate API ad altri AWS servizi per conto dell'utente assumendo questo ruolo. Per creare i parchi istanze, devi disporre di questo ruolo nell'account. Se questo ruolo non è incluso nel tuo AWS account e le autorizzazioni IAM richieste e le politiche di relazione di fiducia non sono allegate, non puoi creare flotte di WorkSpaces applicazioni.
Per ulteriori informazioni, consulta la sezione [Verifica del ruolo e delle politiche del servizio AmazonAppStreamServiceAccess](controlling-access-checking-for-iam-service-access.md) per verificare se il ruolo di **AmazonAppStreamServiceAccess**servizio è presente e se sono allegate le politiche corrette.
**Nota**
Questo ruolo di servizio può avere autorizzazioni diverse da quelle del primo utente che inizia a usare WorkSpaces Applications. Per i dettagli sulle autorizzazioni di questo ruolo, vedere «AmazonAppStreamServiceAccess» in. [AWS Politiche gestite necessarie per accedere alle risorse WorkSpaces delle applicazioni](managed-policies-required-to-access-appstream-resources.md)
## ApplicationAutoScalingForAmazonAppStreamAccess
Questo ruolo è un ruolo di servizio che viene creato automaticamente quando inizi a usare WorkSpaces Applicazioni in una AWS regione. Per ulteriori informazioni sui ruoli dei servizi, consulta [Creazione di un ruolo per delegare le autorizzazioni a un AWS servizio nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) per l'*utente IAM*.
Il ridimensionamento automatico è una funzionalità delle flotte di applicazioni. WorkSpaces Per configurare le politiche di scalabilità, devi avere questo ruolo di servizio nel tuo account. AWS Se questo ruolo di servizio non è incluso nel tuo AWS account e le autorizzazioni IAM richieste e le politiche di relazione di fiducia non sono allegate, non puoi scalare le flotte di WorkSpaces applicazioni.
Per ulteriori informazioni, consulta [Verifica del ruolo di servizio e delle policy ApplicationAutoScalingForAmazonAppStreamAccess](controlling-access-checking-for-iam-autoscaling.md).
## AWSServiceRoleForApplicationAutoScaling\$1AppStreamFleet
Si tratta di un ruolo collegato al servizio che viene creato automaticamente per l'utente. Per ulteriori informazioni, consulta [Ruoli collegati ai servizi](https://docs.aws.amazon.com/autoscaling/application/userguide/application-auto-scaling-service-linked-roles.html) nella *Guida per l'utente di Application Auto Scaling*.
Application Auto Scaling utilizza un ruolo collegato al servizio per eseguire il dimensionamento automatico per conto dell'utente. Un *ruolo collegato al servizio è un ruolo* IAM collegato direttamente a un servizio. AWS Questo ruolo include tutte le autorizzazioni richieste dal servizio per chiamare altri AWS servizi per tuo conto.
Per ulteriori informazioni, consulta [Verifica del ruolo e delle policy `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` collegati al servizio](controlling-access-checking-for-iam-service-linked-role-application-autoscaling-appstream-fleet.md).
## AmazonAppStreamPCAAccess
Questo ruolo è un ruolo di servizio che viene creato automaticamente quando inizi a usare WorkSpaces Applicazioni in una AWS regione. Per ulteriori informazioni sui ruoli dei servizi, consulta [Creazione di un ruolo per delegare le autorizzazioni a un AWS servizio nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) per l'*utente IAM*.
L'autenticazione basata su certificati è una funzionalità delle flotte di WorkSpaces applicazioni unite ai domini Microsoft Active Directory. Per abilitare e utilizzare l'autenticazione basata su certificati, devi avere questo ruolo di servizio nel tuo account. AWS Se questo ruolo di servizio non è presente nel tuo AWS account e le autorizzazioni IAM richieste e le politiche di relazione di fiducia non sono allegate, non puoi abilitare o utilizzare l'autenticazione basata su certificati.
Per ulteriori informazioni, consulta [Verifica del ruolo e delle politiche del AmazonAppStream PCAAccess servizio](controlling-access-checking-for-AppStreamPCAAccess.md).
# Verifica del ruolo e delle politiche del servizio AmazonAppStreamServiceAccess
Completa la procedura in questa sezione per controllare se il ruolo di servizio **AmazonAppStreamServiceAccess** è presente e ha le policy corrette collegate. Se questo ruolo non è presente nel tuo account e deve essere creato, tu o un amministratore con le autorizzazioni richieste dovete eseguire i passaggi per iniziare a utilizzare WorkSpaces le applicazioni nel tuo account Amazon Web Services.
**Per verificare se il ruolo del servizio AmazonAppStreamServiceAccess IAM è presente**
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione, seleziona **Ruoli**.
1. Nella casella di ricerca, digita **amazonappstreamservice** per restringere l'elenco dei ruoli da selezionare, quindi scegli. **AmazonAppStreamServiceAccess** Se questo ruolo è elencato, selezionalo per visualizzare la pagina **Summary (Riepilogo)** del ruolo.
1. Nella scheda **Autorizzazioni**, verifica che la policy di autorizzazione **AmazonAppStreamServiceAccess** sia collegata.
1. Tornare alla pagina **Summary (Riepilogo)** del ruolo.
1. Nella scheda **Relazioni di attendibilità**, scegli **Visualizza documento di policy**, quindi verifica che la policy delle relazioni di attendibilità **AmazonAppStreamServiceAccess** sia collegata e abbia il formato corretto. In questo caso, la relazione di attendibilità è configurata correttamente. Scegli **Annulla** e chiudi la console IAM.
## AmazonAppStreamServiceAccess politica in materia di relazioni di fiducia
La politica sulle relazioni di **AmazonAppStreamServiceAccess**fiducia deve includere il servizio WorkSpaces Applicazioni come principale. Un *principale* è un'entità in AWS grado di eseguire azioni e accedere alle risorse. Questa policy deve includere anche l'operazione `sts:AssumeRole`. La seguente configurazione dei criteri definisce WorkSpaces le applicazioni come entità attendibili.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "appstream.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# Verifica del ruolo di servizio e delle policy ApplicationAutoScalingForAmazonAppStreamAccess
Completa la procedura in questa sezione per controllare se il ruolo di servizio **ApplicationAutoScalingForAmazonAppStreamAccess** è presente e ha le policy corrette collegate. Se questo ruolo non è presente nel tuo account e deve essere creato, tu o un amministratore con le autorizzazioni richieste dovete eseguire i passaggi per iniziare a utilizzare WorkSpaces le applicazioni nel tuo account Amazon Web Services.
**Per verificare se il ruolo di servizio ApplicationAutoScalingForAmazonAppStreamAccess IAM è presente**
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione, seleziona **Ruoli**.
1. Nella casella di ricerca, digita **applicationautoscaling** per limitare l'elenco dei ruoli da selezionare, quindi scegli **ApplicationAutoScalingForAmazonAppStreamAccess**. Se questo ruolo è elencato, selezionalo per visualizzare la pagina **Summary (Riepilogo)** del ruolo.
1. Nella scheda **Autorizzazioni**, verifica che la policy di autorizzazione **ApplicationAutoScalingForAmazonAppStreamAccess** sia collegata.
1. Tornare alla pagina **Summary (Riepilogo)** del ruolo.
1. Nella scheda **Relazioni di attendibilità**, scegli **Visualizza documento di policy**, quindi verifica che la policy delle relazioni di attendibilità **ApplicationAutoScalingForAmazonAppStreamAccess** sia collegata e abbia il formato corretto. In questo caso, la relazione di attendibilità è configurata correttamente. Scegli **Annulla** e chiudi la console IAM.
## Policy delle relazioni di attendibilità ApplicationAutoScalingForAmazonAppStreamAccess
La policy delle relazioni di attendibilità **ApplicationAutoScalingForAmazonAppStreamAccess** deve includere il servizio Application Auto Scaling come principale. Questa policy deve includere anche l'operazione `sts:AssumeRole`. La seguente configurazione di policy definisce Application Auto Scaling come entità attendibile.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "application-autoscaling.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# Verifica del ruolo e delle policy `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` collegati al servizio
Completa la procedura in questa sezione per controllare se il ruolo collegato al servizio `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` è presente e dispone delle policy collegate corrette. Se questo ruolo non è presente nel tuo account e deve essere creato, tu o un amministratore con le autorizzazioni richieste dovete eseguire i passaggi per iniziare a utilizzare WorkSpaces le applicazioni nel tuo account Amazon Web Services.
**Per verificare se il ruolo IAM `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` collegato al servizio è presente**
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione, seleziona **Ruoli**.
1. Nella casella di ricerca, digita **applicationautoscaling** per limitare l'elenco dei ruoli da selezionare, quindi scegli `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet`. Se questo ruolo è elencato, selezionalo per visualizzare la pagina **Summary (Riepilogo)** del ruolo.
1. Nella scheda **Autorizzazioni**, verifica che sia collegata la policy di autorizzazione `AWSApplicationAutoscalingAppStreamFleetPolicy`.
1. Tornare alla pagina di riepilogo **Role (Ruolo)**.
1. Nella scheda **Relazioni di attendibilità**, scegli **Visualizza documento di policy**, quindi verifica che la policy delle relazioni di attendibilità `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` sia collegata e abbia il formato corretto. In questo caso, la relazione di attendibilità è configurata correttamente. Scegli **Annulla** e chiudi la console IAM.
## AWSServiceRoleForApplicationAutoScaling\$1AppStreamFleet politica delle relazioni di fiducia
La policy delle relazioni di attendibilità `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` deve includere **appstream.application-autoscaling.amazonaws.com** come principale. Questa policy deve includere anche l'operazione `sts:AssumeRole`. La seguente configurazione di policy definisce **appstream.application-autoscaling.amazonaws.com** come entità attendibile.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "appstream.application-autoscaling.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# Verifica del ruolo e delle politiche del AmazonAppStream PCAAccess servizio
Completa la procedura in questa sezione per controllare se il ruolo di servizio **AmazonAppStreamPCAAccess** è presente e ha le policy corrette collegate. Se questo ruolo non è presente nel tuo account e deve essere creato, tu o un amministratore con le autorizzazioni richieste dovete eseguire i passaggi per iniziare a utilizzare WorkSpaces le applicazioni nel tuo account Amazon Web Services.
**Per verificare se il ruolo del servizio AmazonAppStream PCAAccess IAM è presente**
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione, seleziona **Ruoli**.
1. Nella casella di ricerca, digita **appstreampca** per restringere l'elenco dei ruoli da selezionare, quindi scegli. **AmazonAppStreamPCAAccess** Se questo ruolo è elencato, selezionalo per visualizzare la pagina **Summary (Riepilogo)** del ruolo.
1. Nella scheda **Autorizzazioni**, verifica che sia collegata la policy di autorizzazione **AmazonAppStreamPCAAccess **.
1. Tornare alla pagina di riepilogo **Role (Ruolo)**.
1. Nella scheda **Relazioni di attendibilità**, scegli **Visualizza documento di policy**, quindi verifica che la policy delle relazioni di attendibilità **AmazonAppStreamPCAAccess ** sia collegata e abbia il formato corretto. In questo caso, la relazione di attendibilità è configurata correttamente. Scegli **Annulla** e chiudi la console IAM.
## AmazonAppStreamPCAAccess politica in materia di relazioni di fiducia
La politica sui rapporti di **AmazonAppStreamPCAAccess**fiducia deve includere prod.euc.ecm.amazonaws.com come principale. Questa policy deve includere anche l'operazione `sts:AssumeRole`. Questa configurazione di policy definisce ECM come entità attendibile.
**Per creare la politica AmazonAppStream PCAAccess di relazione di fiducia utilizzando la AWS CLI**
1. Crea un file JSON denominato `AmazonAppStreamPCAAccess.json` con il seguente testo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"prod.euc.ecm.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {}
}
]
}
```
------
1. Modifica il `AmazonAppStreamPCAAccess.json` percorso in base alle esigenze ed esegui i seguenti comandi AWS CLI per creare la politica di relazione di fiducia e allegare la politica AmazonAppStream PCAAccess gestita. Per ulteriori informazioni sulla policy gestita, consulta [AWS Politiche gestite necessarie per accedere alle risorse WorkSpaces delle applicazioni](managed-policies-required-to-access-appstream-resources.md).
```
aws iam create-role --path /service-role/ --role-name AmazonAppStreamPCAAccess --assume-role-policy-document file://AmazonAppStreamPCAAccess.json
```
```
aws iam attach-role-policy —role-name AmazonAppStreamPCAAccess —policy-arn arn:aws:iam::aws:policy/AmazonAppStreamPCAAccess
```
# Utilizzo delle policy IAM per gestire l'accesso degli amministratori ad Application Auto Scaling
La scalabilità automatica per le flotte è resa possibile da una combinazione di Applications CloudWatch, Amazon e WorkSpaces Application Auto Scaling. APIs WorkSpaces Le flotte di applicazioni vengono create con WorkSpaces Applications, gli allarmi vengono creati e le policy di scalabilità vengono create con Application Auto Scaling. CloudWatch
Oltre a disporre delle autorizzazioni definite nella [AmazonAppStreamFullAccess](managed-policies-required-to-access-appstream-resources.md)policy, l'utente IAM che accede alle impostazioni di scalabilità della flotta deve disporre delle autorizzazioni necessarie per i servizi che supportano la scalabilità dinamica. Gli utenti IAM devono avere l'autorizzazione per utilizzare le operazioni nella seguente policy di esempio.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"appstream:*",
"application-autoscaling:*",
"cloudwatch:DeleteAlarms",
"cloudwatch:DescribeAlarmsForMetric",
"cloudwatch:DisableAlarmActions",
"cloudwatch:DescribeAlarms",
"cloudwatch:EnableAlarmActions",
"cloudwatch:ListMetrics",
"cloudwatch:PutMetricAlarm",
"iam:ListRoles"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "application-autoscaling.amazonaws.com"
}
}
}
]
}
```
------
Puoi inoltre creare le tue policy IAM per impostare autorizzazioni più specifiche per le chiamate all'API Application Auto Scaling. Per ulteriori informazioni, consulta [Autenticazione e controllo degli accessi](https://docs.aws.amazon.com/autoscaling/application/userguide/auth-and-access-control.html) nella *Guida per l'utente di Application Auto Scaling*.
# Utilizzo delle policy IAM per la gestione dell'accesso amministratore al bucket Amazon S3 per le home directory e la persistenza delle impostazioni dell'applicazione
I seguenti esempi mostrano come è possibile utilizzare le policy IAM per gestire l'accesso al bucket Amazon S3 per le home directory e la persistenza delle impostazioni dell'applicazione.
**Topics**
+ [
# Eliminazione del bucket Amazon S3 per le home directory e la persistenza delle impostazioni dell'applicazione
](s3-iam-policy-delete.md)
+ [
# Limitazione dell'accesso amministratore al bucket Amazon S3 per le home directory e la persistenza delle impostazioni dell'applicazione
](s3-iam-policy-restricted-access.md)
# Eliminazione del bucket Amazon S3 per le home directory e la persistenza delle impostazioni dell'applicazione
WorkSpaces Applications aggiunge una policy sui bucket Amazon S3 ai bucket che crea per evitare che vengano eliminati accidentalmente. Per eliminare un bucket S3, devi eliminare prima la policy del bucket S3. Di seguito sono elencate le policy del bucket che devono essere eliminate per le home directory e la persistenza delle impostazioni dell'applicazione.
**Policy per le home directory**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "PreventAccidentalDeletionOfBucket",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:DeleteBucket",
"Resource": "arn:aws:s3:::appstream2-36fb080bb8-region-code-123456789012-without-hyphens"
}
]
}
```
------
**Policy di persistenza delle impostazioni dell'applicazione**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "PreventAccidentalDeletionOfBucket",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:DeleteBucket",
"Resource": "arn:aws:s3:::appstream-app-settings-region-code-123456789012-without-hyphens-unique-identifier"
}
]
}
```
------
Per ulteriori informazioni, consulta [Eliminazione di un bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/delete-or-empty-bucket.html) nella *Guida per l'utente di Amazon Simple Storage Service*.
# Limitazione dell'accesso amministratore al bucket Amazon S3 per le home directory e la persistenza delle impostazioni dell'applicazione
Per impostazione predefinita, gli amministratori che possono accedere ai bucket Amazon S3 creati WorkSpaces dalle applicazioni possono visualizzare e modificare i contenuti che fanno parte delle cartelle home degli utenti e delle impostazioni persistenti delle applicazioni. Per limitare l'accesso amministratore ai bucket S3 che contengono i file dell'utente, consigliamo di applicare le policy di accesso dei bucket S3 basate sul modello seguente:
```
{
"Sid": "RestrictedAccess",
"Effect": "Deny",
"NotPrincipal":
{
"AWS": [
"arn:aws:iam::account:role/service-role/AmazonAppStreamServiceAccess",
"arn:aws:sts::account:assumed-role/AmazonAppStreamServiceAccess/PhotonSession",
"arn:aws:iam::account:user/IAM-user-name"
]
},
"Action": "s3:*",
"Resource": "arn:aws:s3:::home-folder-or-application-settings-persistence-s3-bucket-region-account"
}
]
}
```
Questa policy consente l'accesso ai bucket S3 solo agli utenti specificati e al servizio Applicazioni. WorkSpaces Per ogni utente IAM a cui consentire l'accesso, replica la riga seguente:
```
"arn:aws:iam::account:user/IAM-user-name"
```
In questo esempio, la policy limita l'accesso al bucket S3 della home directory a chiunque, tranne che agli utenti IAM marymajor e johnstiles. Consente inoltre l'accesso al servizio WorkSpaces Applicazioni, nella AWS regione Stati Uniti occidentali (Oregon) per l'account ID 123456789012.
```
{
"Sid": "RestrictedAccess",
"Effect": "Deny",
"NotPrincipal":
{
"AWS": [
"arn:aws:iam::123456789012:role/service-role/AmazonAppStreamServiceAccess",
"arn:aws:sts::123456789012:assumed-role/AmazonAppStreamServiceAccess/PhotonSession",
"arn:aws:iam::123456789012:user/marymajor",
"arn:aws:iam::123456789012:user/johnstiles"
]
},
"Action": "s3:*",
"Resource": "arn:aws:s3:::appstream2-36fb080bb8-us-west-2-123456789012"
}
]
}
```
# Utilizzo di un ruolo IAM per concedere autorizzazioni ad applicazioni e script in esecuzione su istanze di streaming di applicazioni WorkSpaces
Le applicazioni e gli script eseguiti su istanze di streaming di WorkSpaces Applications devono includere AWS credenziali nelle loro richieste API. AWS Per gestire tali credenziali, puoi creare un ruolo IAM. Un ruolo IAM specifica un set di autorizzazioni che puoi utilizzare per accedere alle risorse. AWS Tuttavia, questo ruolo non è associato in modo univoco a una persona. Al contrario, può essere assunto da chiunque ne abbia bisogno.
Puoi applicare un ruolo IAM a un'istanza di streaming di WorkSpaces Applications. Quando l'istanza di streaming passa (assume) al ruolo, questo fornisce credenziali di sicurezza temporanee. L'applicazione o gli script utilizzano queste credenziali per eseguire azioni API e attività di gestione sull'istanza di streaming. WorkSpaces Applications gestisce il cambio temporaneo delle credenziali per te.
**Topics**
+ [
# Best practice per l'utilizzo dei ruoli IAM con WorkSpaces le istanze di streaming delle applicazioni
](best-practices-for-using-iam-role-with-streaming-instances.md)
+ [
# Configurazione di un ruolo IAM esistente da utilizzare con le istanze di streaming WorkSpaces delle applicazioni
](configuring-existing-iam-role-to-use-with-streaming-instances.md)
+ [
# Come creare un ruolo IAM da utilizzare con WorkSpaces le istanze di streaming delle applicazioni
](how-to-create-iam-role-to-use-with-streaming-instances.md)
+ [
# Come utilizzare il ruolo IAM con WorkSpaces le istanze di streaming delle applicazioni
](how-to-use-iam-role-with-streaming-instances.md)
# Best practice per l'utilizzo dei ruoli IAM con WorkSpaces le istanze di streaming delle applicazioni
Quando utilizzi i ruoli IAM con WorkSpaces le istanze di streaming di Applications, ti consigliamo di seguire queste pratiche:
+ Limita le autorizzazioni concesse alle azioni e alle AWS risorse dell'API.
Segui i principi del privilegio minimo quando crei e colleghi le policy IAM ai ruoli IAM associati alle istanze di streaming di WorkSpaces Applications. Quando utilizzi un'applicazione o uno script che richiede l'accesso alle azioni o alle risorse dell' AWS API, determina le azioni e le risorse specifiche richieste. Quindi, creare policy che consentono all'applicazione o allo script di eseguire solo tali operazioni. Per ulteriori informazioni, consulta [Assegnare il privilegio minimo](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) nella *Guida per l'utente di IAM*.
+ Crea un ruolo IAM per ogni risorsa WorkSpaces Applications.
La creazione di un ruolo IAM univoco per ogni risorsa WorkSpaces Applications è una pratica che segue i principi del privilegio minimo. Ciò consente inoltre di modificare le autorizzazioni per una risorsa senza influire sulle altre risorse.
+ Limitare l'ambito in cui è possibile utilizzare le credenziali.
Le policy IAM consentono di definire le condizioni in cui il ruolo IAM può essere utilizzato per accedere a una risorsa. Ad esempio, è possibile includere le condizioni per specificare un intervallo di indirizzi IP da cui le richieste possono provenire. In questo modo si impedisce l'utilizzo delle credenziali al di fuori dell'ambiente. Per ulteriori informazioni, consulta [Utilizzare le condizioni della policy per ulteriore sicurezza](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#use-policy-conditions) nella *Guida per l'utente IAM*.
# Configurazione di un ruolo IAM esistente da utilizzare con le istanze di streaming WorkSpaces delle applicazioni
Questo argomento descrive come configurare un ruolo IAM esistente in modo da poterlo utilizzare con gli Image Builder e le istanze di streaming del parco istanze.
**Prerequisiti**
Il ruolo IAM che desideri utilizzare con un generatore di immagini di WorkSpaces Applications o un'istanza di streaming della flotta di applicazioni deve soddisfare i seguenti prerequisiti:
+ Il ruolo IAM deve trovarsi nello stesso account Amazon Web Services dell'istanza di streaming WorkSpaces Applications.
+ Il ruolo IAM non può essere un ruolo di servizio.
+ La politica di relazione di fiducia associata al ruolo IAM deve includere il servizio WorkSpaces Applications come principale. Un *principale* è un'entità in AWS grado di eseguire azioni e accedere alle risorse. La policy deve includere anche l'operazione `sts:AssumeRole`. Questa configurazione dei criteri definisce WorkSpaces le applicazioni come entità attendibili.
+ Se state applicando il ruolo IAM a un generatore di immagini, quest'ultimo deve eseguire una versione dell'agente WorkSpaces Applications rilasciata a partire dal 3 settembre 2019. Se stai applicando il ruolo IAM a una flotta, la flotta deve utilizzare un'immagine che utilizzi una versione dell'agente rilasciata nella stessa data o dopo la stessa data. Per ulteriori informazioni, consulta [WorkSpaces Note sulla versione di Applications Agent](agent-software-versions.md).
**Per consentire al responsabile del servizio WorkSpaces Applications di assumere un ruolo IAM esistente**
Per eseguire la procedura seguente, devi accedere all'account come utente IAM che dispone delle autorizzazioni necessarie per elencare e aggiornare i ruoli IAM. Se non disponi delle autorizzazioni necessarie, contatta l'amministratore dell'account Amazon Web Services per eseguire queste fasi nel tuo account o per ottenere le autorizzazioni necessarie.
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione, seleziona **Ruoli**.
1. Nell'elenco di ruoli dell'account selezionare il nome del ruolo da modificare.
1. Selezionare la scheda **Trust relationships (Relazioni di trust)** e scegliere **Edit trust relationship (Modifica relazione di trust)**.
1. In **Policy Document (Documento policy)**, verificare che la policy della relazione di trust includa l'operazione `sts:AssumeRole` per l'entità principale del servizio `appstream.amazonaws.com`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"appstream.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Una volta completata la modifica della policy di attendibilità, selezionare **Update Trust Policy (Aggiorna policy di attendibilità)** per salvare le modifiche.
1. Il ruolo IAM selezionato verrà visualizzato nella console WorkSpaces Applicazioni. Questo ruolo concede le autorizzazioni alle applicazioni e agli script per eseguire operazioni API e attività di gestione sulle istanze di streaming.
# Come creare un ruolo IAM da utilizzare con WorkSpaces le istanze di streaming delle applicazioni
Questo argomento descrive come creare un nuovo ruolo IAM in modo da poterlo utilizzare con gli Image Builder e le istanze di streaming del parco istanze.
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel pannello di navigazione, scegli **Ruoli** e quindi **Crea ruolo**.
1. In **Select type of trusted entity (Seleziona tipo di entità attendibile)**, scegli **AWS service (Servizio)**.
1. Dall'elenco dei AWS servizi, scegli **WorkSpaces Applicazioni**.
1. In **Seleziona il tuo caso d'uso**, WorkSpaces è già selezionata l'opzione ** WorkSpaces Applicazioni: consente alle istanze di Applications di chiamare i AWS servizi per tuo conto**. Scegli **Successivo: autorizzazioni**.
1. Se possibile, selezionare la policy delle autorizzazioni da utilizzare o scegliere **Crea policy** per aprire una nuova scheda del browser e creare una nuova policy da zero. Per ulteriori informazioni, consulta la fase 4 nella procedura [Creazione di policy IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start) nella *Guida per l'utente di IAM*.
Una volta creata la policy, chiudere la scheda e tornare alla scheda originale. Seleziona la casella di controllo accanto alle politiche di autorizzazione che desideri assegnare alle WorkSpaces Applicazioni.
1. (Facoltativo) Impostare un limite delle autorizzazioni. Questa è una funzionalità avanzata disponibile per i ruoli di servizio, ma non per i ruoli collegati ai servizi. Per ulteriori informazioni, consulta [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) nella *Guida per l'utente di IAM*.
1. Scegli **Successivo: Tag**. È inoltre possibile collegare tag come coppie chiave-valore. Per ulteriori informazioni, consulta [Tagging delle risorse IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) nella *Guida per l'utente IAM*.
1. Scegli **Prossimo: Rivedi**.
1. Per **Nome ruolo**, digita un nome di ruolo univoco all'interno dell'account Amazon Web Services. Poiché altre AWS risorse potrebbero fare riferimento al ruolo, non puoi modificare il nome del ruolo dopo che è stato creato.
1. Per **Role description (Descrizione ruolo)**, mantenere la descrizione del ruolo predefinita o digitarne una nuova.
1. Verificare il ruolo e quindi scegliere **Create role (Crea ruolo)**.
# Come utilizzare il ruolo IAM con WorkSpaces le istanze di streaming delle applicazioni
Dopo aver creato un ruolo IAM, puoi applicarlo a un Image Builder o a un'istanza di streaming del parco istanze quando avvii l'Image Builder o crei un parco istanze. Puoi anche applicare un ruolo IAM ai parchi istanze esistenti. Per informazioni su come applicare un ruolo IAM all'avvio di un Image Builder, consulta [Avvio di uno sviluppatore di immagini per installare e configurare applicazioni per lo streaming](tutorial-image-builder-create.md). Per informazioni su come applicare il ruolo IAM al momento della creazione di un parco istanze, consulta [Crea una flotta nelle WorkSpaces applicazioni Amazon](set-up-stacks-fleets-create.md).
Quando applichi un ruolo IAM al tuo generatore di immagini o all'istanza di streaming della flotta, WorkSpaces Applications recupera le credenziali temporanee e crea il profilo di credenziali **appstream\$1machine\$1role** sull'istanza. Le credenziali temporanee sono valide per 1 ora e nuove credenziali vengono recuperate ogni ora. Le credenziali precedenti non scadono, quindi è possibile utilizzarle per tutto il tempo in cui sono valide. Puoi utilizzare il profilo delle credenziali per chiamare AWS i servizi a livello di codice utilizzando l'interfaccia a riga di AWS comando (AWS CLI), AWS Tools for PowerShell o l' AWS SDK con il linguaggio che preferisci.
Quando si effettuano le chiamate API, specificare **appStream\$1machine\$1role** come profilo delle credenziali. In caso contrario, l'operazione ha esito negativo a causa di autorizzazioni insufficienti.
WorkSpaces Le applicazioni assumono il ruolo specificato durante il provisioning dell'istanza di streaming. Poiché WorkSpaces Applications utilizza l'interfaccia di rete elastica collegata al VPC per le chiamate AWS API, l'applicazione o lo script deve attendere che l'interfaccia di rete elastica diventi disponibile prima di effettuare chiamate AWS API. Se le chiamate API vengono effettuate prima che l'interfaccia di rete elastica sia disponibile, le chiamate non vanno a buon fine.
I seguenti esempi mostrano come utilizzare il profilo delle credenziali ** appStream\$1machine\$1role** per descrivere le istanze di streaming (istanze EC2) e per creare il client Boto. Boto è l'Amazon Web Services SDK Amazon Web Services (AWS) per Python.
**Descrivi le istanze di streaming (istanze EC2) utilizzando la CLI AWS **
```
aws ec2 describe-instances --region us-east-1 --profile appstream_machine_role
```
**Descrivi le istanze di streaming (istanze EC2) utilizzando gli strumenti per AWS PowerShell**
È necessario utilizzare AWS Tools per la PowerShell versione 3.3.563.1 o successiva, con l'Amazon Web Services SDK for .NET versione 3.3.103.22 o successiva. Puoi scaricare il programma di installazione di AWS Tools for Windows, che include AWS Tools for PowerShell e Amazon Web Services SDK for .NET, dal AWS sito Web [Tools PowerShell](https://aws.amazon.com/powershell/) for.
```
Get-EC2Instance -Region us-east-1 -ProfileName appstream_machine_role
```
**Creazione del client Boto utilizzando l' AWS SDK per Python**
```
session = boto3.Session(profile_name='appstream_machine_role')
```
# SELinux su Red Hat Enterprise Linux e Rocky Linux
Per impostazione predefinita, Security Enhanced Linux (SELinux) è `enabled` e impostato sulla `enforcing` modalità per WorkSpaces Applications Image Builder e istanze di streaming basate su Red Hat Enterprise Linux e Rocky Linux. In `enforcing` modalità, vengono applicate le negazioni delle autorizzazioni. SELinux è una raccolta di funzionalità e utilità del kernel per fornire un'architettura MAC (Mandatory Access Control) solida, flessibile e obbligatoria ai principali sottosistemi del kernel.
SELinux fornisce un meccanismo avanzato per imporre la separazione delle informazioni in base ai requisiti di riservatezza e integrità. Questa separazione delle informazioni riduce le minacce di manomissione e aggiramento dei meccanismi di sicurezza delle applicazioni. Inoltre limita i danni che possono essere causati da applicazioni dannose o difettose.
SELinux include una serie di esempi di file di configurazione delle politiche di sicurezza progettati per soddisfare gli obiettivi di sicurezza quotidiani. Per ulteriori informazioni su SELinux caratteristiche e funzionalità, consulta [Cos'è SELinux](https://www.redhat.com/en/topics/linux/what-is-selinux)?
# Autenticazione basata sui cookie nelle applicazioni Amazon WorkSpaces
WorkSpaces Le applicazioni utilizzano i cookie del browser per autenticare le sessioni di streaming e consentire agli utenti di riconnettersi a una sessione attiva senza reinserire le proprie credenziali di accesso ogni volta. I token di autenticazione vengono memorizzati nei cookie del browser per ogni scenario di autenticazione. Sebbene i cookie siano necessari per molti servizi online, possono essere potenzialmente vulnerabili agli attacchi di furto di cookie. Ti consigliamo vivamente di adottare misure proattive per prevenire il furto di cookie, come l'implementazione di solide soluzioni di protezione degli endpoint per i dispositivi degli utenti. Inoltre, per mitigare il potenziale impatto in caso di furto dei cookie, ti consigliamo di prendere in considerazione le seguenti azioni:
+ **Applica il limite per sessione singola**: per le immagini Windows WorkSpaces delle applicazioni, crea una chiave di registro `HKEY_USERS\S-1-5-18\Software\GSettings\com\nicesoftware\dcv\session-management` con il nome **max-concurrent-clients**impostato su 1 per consentire una sola connessione alla volta. Ciò limita il numero di sessioni simultanee a una e blocca il mirroring delle sessioni attive. Per ulteriori informazioni, vedere Parametri di gestione della [sessione](https://docs.aws.amazon.com/dcv/latest/adminguide/config-param-ref.html#session_management).
+ **Applica la scadenza e la riautenticazione della sessione**
+ Riduci il SessionDuration valore in modo che il token di autenticazione scada dopo che l'utente ha avviato con successo la sessione di streaming. Il riutilizzo dei cookie di autenticazione dopo la scadenza di SessionDuration richiede agli utenti di autenticarsi nuovamente. SessionDuration specifica il periodo di tempo massimo in cui una sessione di streaming federata per un utente può rimanere attiva prima che sia richiesta la riautenticazione. Il valore predefinito è di 60 minuti. Per ulteriori informazioni, consulta [Fase 5: creazione delle asserzioni per la risposta di autenticazione SAML](external-identity-providers-setting-up-saml.md#external-identity-providers-create-assertions).
+ Per massimizzare la sicurezza, gli utenti devono terminare correttamente le sessioni utilizzando la barra degli strumenti (terminare la sessione), anziché chiudere la finestra di streaming. La chiusura della sessione tramite la barra degli strumenti interrompe sia la sessione utente che l'istanza di streaming. Ciò richiede la riautenticazione per gli accessi futuri, prevenendo l'uso improprio dei cookie. Se un utente chiude la finestra di streaming senza terminare la sessione, la sessione e l'istanza rimangono attive per un periodo di timeout di disconnessione configurabile (in minuti). Il timeout di disconnessione deve essere un numero compreso tra 1 e 5760, con un valore predefinito di 15 minuti. Per evitare un uso improprio delle sessioni inattive, consigliamo di impostare un breve timeout di disconnessione. Per ulteriori informazioni, consulta [Crea una flotta nelle WorkSpaces applicazioni Amazon](set-up-stacks-fleets-create.md).
+ **Limita l'accesso alle applicazioni di streaming WorkSpaces delle applicazioni ai tuoi intervalli IP**: ti consigliamo di implementare politiche IAM basate su IP. Ciò garantisce che WorkSpaces le sessioni delle applicazioni siano accessibili solo da client il cui indirizzo IP appartiene a un intervallo IP autorizzato. Tutti i tentativi di connessione avviati da un utente il cui indirizzo IP del client non rientra in un intervallo autorizzato verranno negati, anche se presentano un cookie di autenticazione altrimenti valido (potenzialmente rubato a un utente). Per ulteriori informazioni, consulta [Limitare l'accesso allo streaming di applicazioni Amazon AppStream 2.0 ai tuoi intervalli di IP](https://aws.amazon.com/blogs/desktop-and-application-streaming/limit-access-to-stream-amazon-appstream-2-0-applications-to-your-ip-ranges/).
+ **Aggiungi un'autenticazione aggiuntiva**: per avviare istanze di streaming aggiunte al dominio, puoi unire i tuoi parchi di WorkSpaces applicazioni Windows e i generatori di immagini Always-On e On-Demand ai domini di Microsoft Active Directory e utilizzare i domini Active Directory esistenti, basati sul cloud o in locale. Dopo l'autenticazione iniziale basata su SAML, agli utenti verrà richiesto di fornire le proprie credenziali di dominio per un'ulteriore autenticazione rispetto al dominio dell'organizzazione. Per ulteriori informazioni, consulta [Utilizzo di Active Directory con WorkSpaces applicazioni](active-directory.md).
[Se hai dubbi o hai bisogno di aiuto, contatta Center.Supporto AWS](https://console.aws.amazon.com/support/home#/)
# Registrazione e monitoraggio nelle applicazioni Amazon WorkSpaces
Il monitoraggio è una parte importante del mantenimento dell'affidabilità, della disponibilità e delle prestazioni delle WorkSpaces applicazioni Amazon. Questo argomento descrive i servizi e gli strumenti che AWS forniscono per monitorare le risorse delle WorkSpaces applicazioni e rispondere a potenziali incidenti.
** CloudWatch Allarmi Amazon**
Gli CloudWatch allarmi di Amazon ti consentono di monitorare una singola metrica in un periodo di tempo specificato. Se la metrica supera una determinata soglia, viene inviata una notifica a un argomento o AWS Auto Scaling una politica di Amazon Simple Notification Service. CloudWatch gli allarmi non richiamano azioni che si trovano in uno stato particolare. Invece, lo stato deve essere cambiato e mantenuto per un numero di periodi specificato. Per ulteriori informazioni, consulta [Monitoraggio delle risorse WorkSpaces delle applicazioni Amazon](monitoring.md).
WorkSpaces Le applicazioni attualmente non possono essere configurate come destinazione per gli CloudWatch eventi. Per un elenco di servizi che puoi configurare come destinazioni per gli CloudWatch eventi, consulta [What Is Amazon CloudWatch Events](https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/WhatIsCloudWatchEvents.html).
**AWS CloudTrail**
AWS CloudTrail fornisce un registro delle azioni intraprese da un utente, un ruolo o un AWS servizio nelle WorkSpaces Applicazioni. Questo record consente di determinare la richiesta effettuata alle WorkSpaces Applicazioni, l'indirizzo IP da cui è stata effettuata la richiesta, chi ha effettuato la richiesta, quando è stata effettuata e dettagli aggiuntivi. Per ulteriori informazioni, consulta [Registrazione delle chiamate API di Amazon WorkSpaces Applications con AWS CloudTrail](logging-using-cloudtrail.md).
**AWS Trusted Advisor**
AWS Trusted Advisor ispeziona l' AWS ambiente e quindi consiglia modi per risparmiare denaro, migliorare la disponibilità e le prestazioni del sistema o contribuire a colmare le lacune di sicurezza. Trusted Advisor utilizza le best practice raccolte da un'ampia gamma di clienti AWS . Tutti i AWS clienti hanno accesso a cinque Trusted Advisor controlli. Se disponi di un piano di supporto Business o Enterprise, puoi visualizzare tutti i Trusted Advisor controlli.
Quando abiliti la [persistenza delle impostazioni dell'applicazione](how-it-works-app-settings-persistence.md) o [le cartelle home](home-folders-admin.md) per i tuoi utenti, i dati generati dagli utenti vengono archiviati in bucket Amazon S3. Trusted Advisor contiene i seguenti controlli relativi ad Amazon S3:
+ Registrazione della configurazione dei bucket Amazon S3.
+ Controlli della sicurezza per i bucket di Amazon S3 dotati di autorizzazioni di accesso aperte.
+ Controlli della tolleranza ai guasti per i bucket di Amazon S3 per i quali la funzione Controllo delle versioni non è abilitata o è sospesa.
Per ulteriori informazioni, consulta [AWS Trusted Advisor](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor.html) nella *Guida per l'utente di Supporto AWS *.
**Log di accesso Amazon S3**
Se gli utenti dispongono di dati delle impostazioni dell'applicazione o dati delle home directory archiviati in bucket Amazon S3, è opportuno visualizzare i log di accesso al server Amazon S3 per monitorare l'accesso. Questo log forniscono record dettagliati relativi alle richieste che vengono effettuate a un bucket. I log di accesso al server sono utili per numerose applicazioni. Ad esempio, le informazioni del log di accesso possono essere utili nei controlli di accesso e di sicurezza. Per ulteriori informazioni, consulta [Registrazione dell'accesso al server Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/ServerLogs.html) nella *Guida per l’utente di Amazon Simple Storage Service*.
**WorkSpaces Rapporti sull'utilizzo delle applicazioni**
È possibile abbonarsi ai report sull'utilizzo WorkSpaces delle applicazioni per ricevere report dettagliati sull'utilizzo del servizio da parte degli utenti. I report includono la durata di streaming degli utenti e le applicazioni che lanciano. Per ulteriori informazioni, consulta [WorkSpaces Rapporti sull'utilizzo delle applicazioni](configure-usage-reports.md).
# Convalida della conformità per le applicazioni Amazon WorkSpaces
I revisori di terze parti valutano la sicurezza e la conformità delle WorkSpaces applicazioni Amazon nell'ambito di diversi programmi di AWS conformità. Questi includono: [SOC](https://aws.amazon.com/compliance/soc-faqs/), [PCI](https://aws.amazon.com/compliance/pci-dss-level-1-faqs), [ISO](https://aws.amazon.com/compliance/iso-certified/), [FedRAMP](https://aws.amazon.com/compliance/fedramp/), [HIPAA](https://aws.amazon.com/compliance/hipaa-compliance/), [MTCS](https://aws.amazon.com/compliance/aws-multitiered-cloud-security-standard-certification/), [ENS High](https://aws.amazon.com/compliance/esquema-nacional-de-seguridad/), [HITRUST CSF](https://aws.amazon.com/compliance/hitrust/), [VPAT](https://aws.amazon.com/compliance/vpat/) e altri.
**Nota**
WorkSpaces Le applicazioni supportano [FIPS 140-2](https://aws.amazon.com/compliance/fips/). Per informazioni su come utilizzare gli endpoint FIPS WorkSpaces delle applicazioni per uso amministrativo o streaming, vedere. [Protezione dei dati in transito con gli endpoint FIPS](protecting-data-in-transit-FIPS-endpoints.md)
WorkSpaces Le applicazioni sono inoltre in fase di valutazione per la [Guida ai requisiti di sicurezza del cloud computing (SRG) del Dipartimento della Difesa (DoD)](https://aws.amazon.com/compliance/dod/).
Per un elenco dei AWS servizi che rientrano nell'ambito di specifici programmi di conformità, vedere [AWS Servizi nell'ambito del programma di conformitàAWS Servizi nell'ambito del programma](https://aws.amazon.com/compliance/services-in-scope/) conformità. Per informazioni generali, consultare [Programmi per la conformità di AWS](https://aws.amazon.com/compliance/programs/).
È possibile scaricare report di audit di terze parti utilizzando AWS Artifact. Per ulteriori informazioni, consulta [Scaricamento dei report in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
La responsabilità dell'utente in materia di conformità nell'utilizzo delle WorkSpaces applicazioni è determinata dalla sensibilità dei dati, dagli obiettivi di conformità dell'azienda e dalle leggi e dai regolamenti applicabili. AWS fornisce le seguenti risorse per contribuire alla conformità:
+ [Security and Compliance Quick Start Guides (Guide Quick Start Sicurezza e compliance)](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance): queste guide alla distribuzione illustrano considerazioni relative all'architettura e forniscono procedure per la distribuzione di ambienti di base incentrati sulla sicurezza e sulla conformità su AWS.
+ [Whitepaper sull'architettura per la sicurezza e la conformità HIPAA: questo white paper](https://d0.awsstatic.com/whitepapers/compliance/AWS_HIPAA_Compliance_Whitepaper.pdf) descrive come le aziende possono utilizzare per creare applicazioni conformi allo standard HIPAA. AWS
+ AWS Risorse per [la conformità Risorse per la conformità](https://aws.amazon.com/compliance/resources/): questa raccolta di potrebbe riguardare il settore e la località in cui operate.
+ [Valutazione delle risorse con le regole](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) nella *Guida per gli AWS Config sviluppatori*: il AWS Config servizio valuta la conformità delle configurazioni delle risorse alle pratiche interne, alle linee guida del settore e alle normative.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— Questo AWS servizio offre una visione completa dello stato di sicurezza dell'utente, AWS che consente di verificare la conformità agli standard e alle best practice del settore della sicurezza.
# Resilienza nelle applicazioni Amazon WorkSpaces
L'infrastruttura AWS globale è costruita attorno a AWS regioni e zone di disponibilità. Le regioni forniscono più zone di disponibilità fisicamente separate e isolate, connesse tramite reti altamente ridondanti, a bassa latenza e throughput elevato. Con le zone di disponibilità, è possibile progettare e gestire applicazioni e database che eseguono il failover automatico tra zone di disponibilità senza interruzioni. Le zone di disponibilità sono più disponibili, tolleranti ai guasti e scalabili rispetto alle infrastrutture a data center singolo o multiplo tradizionali.
Per ulteriori informazioni su AWS regioni e zone di disponibilità, consulta [Infrastruttura AWS globale](https://aws.amazon.com/about-aws/global-infrastructure/).
# Sicurezza dell'infrastruttura nelle WorkSpaces applicazioni Amazon
In quanto servizio gestito, Amazon WorkSpaces Applications è protetto dalla sicurezza di rete AWS globale. Per informazioni sui servizi AWS di sicurezza e su come AWS protegge l'infrastruttura, consulta [AWS Cloud Security](https://aws.amazon.com/security/). Per progettare il tuo AWS ambiente utilizzando le migliori pratiche per la sicurezza dell'infrastruttura, vedi [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected* Framework.
Utilizzate chiamate API AWS pubblicate per accedere alle WorkSpaces applicazioni attraverso la rete. I client devono supportare quanto segue:
+ Transport Layer Security (TLS). È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Suite di cifratura con Perfect Forward Secrecy (PFS), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità.
I seguenti argomenti forniscono informazioni aggiuntive sulla sicurezza dell'infrastruttura delle WorkSpaces applicazioni.
**Topics**
+ [
# Isolamento di rete
](network-isolation.md)
+ [
# Isolamento su host fisici
](physical-isolation.md)
+ [
# Controllo del traffico di rete
](control-network-traffic.md)
+ [
# WorkSpaces Endpoint VPC di interfaccia delle applicazioni
](interface-vpc-endpoints.md)
+ [
# Protezione dei dati in transito con gli endpoint FIPS
](protecting-data-in-transit-FIPS-endpoints.md)
# Isolamento di rete
Un cloud privato virtuale (Virtual Private Cloud (VPC)) è una rete virtuale nell'area logicamente isolata in Amazon Web Services Cloud. Utilizza separatamente VPCs per isolare l'infrastruttura in base al carico di lavoro o all'entità organizzativa.
Una sottorete è un intervallo di indirizzi IP in un VPC. Quando avvii un'istanza, questa operazione viene eseguita in una sottorete nel VPC. Utilizza sottoreti per isolare i livelli dell'applicazione (ad esempio, web, applicazione e database) all'interno di un singolo VPC. Utilizza sottoreti private per le istanze se non devono essere accessibili direttamente da Internet.
Puoi eseguire lo streaming di istanze da WorkSpaces Applicazioni in streaming nel tuo VPC senza passare attraverso la rete Internet pubblica. A tale scopo, utilizza un endpoint VPC dell'interfaccia (endpoint di interfaccia). Per ulteriori informazioni, consulta [Tutorial: creazione e streaming dagli endpoint VPC dell'interfaccia](creating-streaming-from-interface-vpc-endpoints.md).
Puoi anche richiamare WorkSpaces le operazioni dell'API Applications dal tuo VPC senza inviare traffico sulla rete Internet pubblica utilizzando un endpoint di interfaccia. Per informazioni, consulta [Accedi alle operazioni API delle WorkSpaces applicazioni e ai comandi CLI tramite un endpoint VPC di interfaccia](access-api-cli-through-interface-vpc-endpoint.md).
# Isolamento su host fisici
Istanze di streaming differenti sullo stesso host fisico sono tra loro isolate come se si trovassero su host fisici separati. L'hypervisor isola CPU e memoria e le istanze vengono fornite su dischi virtualizzati anziché accedere a dispositivi vergini non formattati.
Quando interrompi o termini un'istanza di streaming, la memoria ad essa allocata viene annullata (ovvero, viene impostata su zero) dall'hypervisor prima che venga allocata a una nuova istanza e ogni blocco di storage viene ripristinato. Ciò garantisce che i dati non vengano esposti a un'altra istanza.
# Controllo del traffico di rete
Per aiutarti a controllare il traffico di rete verso le istanze di streaming WorkSpaces delle applicazioni, prendi in considerazione queste opzioni:
+ Quando avvii un'istanza di AppStream streaming Amazon, la lanci in una sottorete del tuo VPC. Puoi distribuire le istanze di streaming in una sottorete privata se non devono essere accessibili da Internet.
+ Per fornire accesso Internet alle istanze di streaming in una sottorete privata, utilizza un gateway NAT. Per ulteriori informazioni, consulta [Configurazione di VPC con sottoreti private e un gateway NAT](managing-network-internet-NAT-gateway.md).
+ I gruppi di sicurezza che appartengono al tuo VPC ti consentono di controllare il traffico di rete tra WorkSpaces le istanze di streaming delle applicazioni e le risorse VPC come server di licenza, file server e server di database. I gruppi di sicurezza isolano inoltre il traffico tra le istanze di streaming e i servizi di gestione delle applicazioni. WorkSpaces
Utilizza i gruppi di sicurezza per limitare l'accesso alle istanze di streaming. Ad esempio, puoi consentire il traffico solo dagli intervalli di indirizzi per la rete aziendale. Per ulteriori informazioni, consulta [Gruppi di sicurezza nelle WorkSpaces applicazioni Amazon](managing-network-security-groups.md).
+ Puoi eseguire lo streaming di istanze da WorkSpaces Applicazioni in streaming nel tuo VPC senza passare attraverso la rete Internet pubblica. A tale scopo, utilizza un endpoint VPC dell'interfaccia (endpoint di interfaccia). Per ulteriori informazioni, consulta [Tutorial: creazione e streaming dagli endpoint VPC dell'interfaccia](creating-streaming-from-interface-vpc-endpoints.md).
Puoi anche richiamare WorkSpaces le operazioni dell'API Applications dal tuo VPC senza inviare traffico sulla rete Internet pubblica utilizzando un endpoint di interfaccia. Per ulteriori informazioni, consulta [Accedi alle operazioni API delle WorkSpaces applicazioni e ai comandi CLI tramite un endpoint VPC di interfaccia](access-api-cli-through-interface-vpc-endpoint.md).
+ Utilizza i ruoli e le policy IAM per gestire l'accesso degli amministratori ad WorkSpaces Applications, Application Auto Scaling e ai bucket Amazon S3. Per ulteriori informazioni, consulta i seguenti argomenti:
+ [Utilizzo di policy AWS gestite e ruoli collegati per gestire l'accesso degli amministratori alle risorse WorkSpaces delle applicazioni](controlling-administrator-access-with-policies-roles.md)
+ [Utilizzo delle policy IAM per gestire l'accesso degli amministratori ad Application Auto Scaling](autoscaling-iam-policy.md)
+ [Limitazione dell'accesso amministratore al bucket Amazon S3 per le home directory e la persistenza delle impostazioni dell'applicazione](s3-iam-policy-restricted-access.md)
+ Puoi utilizzare SAML 2.0 per federare l'autenticazione alle applicazioni. WorkSpaces Per ulteriori informazioni, consulta [Amazon WorkSpaces Applications Service Quotas](limits.md).
**Nota**
Per WorkSpaces le distribuzioni di applicazioni più piccole, puoi utilizzare WorkSpaces i pool di utenti delle applicazioni. Per impostazione predefinita, i pool di utenti di supportano un massimo di 50 utenti. Per ulteriori informazioni sulle quote WorkSpaces delle applicazioni (chiamate anche limiti), vedere. [Amazon WorkSpaces Applications Service Quotas](limits.md) Per le distribuzioni che devono supportare 100 o più utenti di WorkSpaces Applicazioni, consigliamo di utilizzare SAML 2.0.
# WorkSpaces Endpoint VPC di interfaccia delle applicazioni
Un cloud privato virtuale (Virtual Private Cloud (VPC)) è una rete virtuale nell'area logicamente isolata in Amazon Web Services Cloud. Se utilizzi Amazon Virtual Private Cloud per ospitare AWS le tue risorse, puoi stabilire una connessione privata tra il tuo VPC e WorkSpaces le applicazioni. Puoi utilizzare questa connessione per consentire alle WorkSpaces applicazioni di comunicare con le tue risorse sul tuo VPC senza passare attraverso la rete Internet pubblica.
Gli endpoint di interfaccia sono alimentati da AWSPrivateLink, una tecnologia che consente di mantenere lo streaming del traffico all'interno di un VPC specificato utilizzando indirizzi IP privati. Quando usi il VPC con un AWS Virtual Private Network tunnel Direct Connect or, puoi mantenere il traffico in streaming all'interno della tua rete.
I seguenti argomenti forniscono informazioni sugli endpoint dell'interfaccia WorkSpaces delle applicazioni.
**Topics**
+ [
# Tutorial: creazione e streaming dagli endpoint VPC dell'interfaccia
](creating-streaming-from-interface-vpc-endpoints.md)
+ [
# Accedi alle operazioni API delle WorkSpaces applicazioni e ai comandi CLI tramite un endpoint VPC di interfaccia
](access-api-cli-through-interface-vpc-endpoint.md)
# Tutorial: creazione e streaming dagli endpoint VPC dell'interfaccia
Puoi utilizzare un endpoint VPC di interfaccia nel tuo account Amazon Web Services per limitare tutto il traffico di rete tra Amazon VPC e Applications WorkSpaces alla rete Amazon. Dopo aver creato questo endpoint, configuri lo stack di WorkSpaces applicazioni o il generatore di immagini per utilizzarlo.
**Prerequisiti**
Prima di configurare gli endpoint VPC di interfaccia per WorkSpaces le applicazioni, tieni presente i seguenti prerequisiti:
+ La connettività Internet è necessaria per autenticare gli utenti e fornire le risorse Web necessarie WorkSpaces alle applicazioni per funzionare. L'endpoint dell'interfaccia di streaming gestisce il traffico di streaming all'interno del VPC. Il traffico in streaming include pixel, USB, input utente, audio, appunti, caricamento e download di file e traffico di stampanti. Per consentire questo traffico, è necessario autorizzare i domini elencati in [Domini consentiti](allowed-domains.md). Dopo aver creato l'endpoint VPC, è necessario consentire i domini di autenticazione utente delle WorkSpaces Applicazioni. Tuttavia, per i gateway di streaming, puoi limitare l'accesso solo a < >.streaming.appstream. vpc-endpoint-id .vpce.amazonaws.com. L'autorizzazione alla pubblicazione su \$1.amazonappstream.com non è obbligatoria. Il nome di dominio completo dell'endpoint VPC sostituisce tale dipendenza.
+ La rete a cui sono connessi i dispositivi degli utenti deve essere in grado di instradare il traffico all'endpoint di interfaccia.
+ I gruppi di sicurezza associati all'endpoint di interfaccia devono consentire l'accesso in entrata alla porta 443 (TCP) e alle porte 1400-1499 (TCP) dall'intervallo di indirizzi IP da cui gli utenti si connettono.
+ La lista di controllo degli accessi di rete per le sottoreti deve consentire il traffico in uscita dalle porte di rete temporanee 1024-65535 (TCP) all'intervallo di indirizzi IP da cui gli utenti si connettono.
+ È necessario disporre di una politica di autorizzazioni IAM Account AWS che fornisca le autorizzazioni per eseguire l'azione API. `ec2:DescribeVpcEndpoints` Per impostazione predefinita, questa autorizzazione è definita nella policy IAM allegata al AmazonAppStreamServiceAccess ruolo. Se disponi delle autorizzazioni richieste, questo ruolo di servizio viene creato automaticamente da WorkSpaces Applications, con le politiche IAM richieste allegate, quando inizi a utilizzare il servizio WorkSpaces Applications in una AWS regione. Per ulteriori informazioni, consulta [Identity and Access Management per WorkSpaces applicazioni Amazon](controlling-access.md).
**Per creare un endpoint dell'interfaccia**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel riquadro di navigazione, seleziona **Endpoints (Endpoint)**, **Create Endpoint (Crea endpoint)**.
1. Scegliere **Create Endpoint** (Crea endpoint).
1. Per la **categoria Servizio**, assicurati che **AWSi servizi** siano selezionati.
1. Per **Service Name (Nome del servizio)**, selezionare **com.amazonaws.******.appstream.streaming**.
1. Specificare le seguenti informazioni: Al termine, selezionare **Create endpoint (Crea endpoint)**.
+ Per **VPC**, scegliere un VPC in cui creare l'endpoint di interfaccia. Puoi scegliere un VPC diverso dal VPC con risorse Applications. WorkSpaces
+ In **Subnets (Sottoreti)**, scegliere le sottoreti (zone di disponibilità) in cui creare le interfacce di rete degli endpoint. Si consiglia di scegliere le sottoreti in almeno due zone di disponibilità.
+ Per il **tipo di indirizzo IP**, scegli o IPV6 . IPV4
+ Assicurarsi che sia selezionata la casella di controllo **Enable Private DNS Name (Abilita nome DNS privato)**.
**Nota**
Se gli utenti utilizzano un proxy di rete per accedere alle istanze di streaming, disattivare qualsiasi caching del proxy nel dominio e nei nomi DNS associati all'endpoint privato. Il nome DNS dell'endpoint VPC deve essere consentito tramite il proxy.
+ In **Security group (Gruppo di sicurezza)**, scegliere i gruppi di sicurezza da associare alle interfacce di rete dell'endpoint.
**Nota**
I gruppi di sicurezza devono fornire l'accesso in entrata alle porte dall'intervallo di indirizzi IP da cui gli utenti si connettono.
Durante la creazione dell'endpoint di interfaccia, lo stato dell'endpoint nella console viene visualizzato come **Pending (In sospeso)**. Dopo aver creato l'endpoint, lo stato cambia in ** Available (Disponibile)**.
Per aggiornare uno stack per utilizzare l'endpoint di interfaccia creato per le sessioni di streaming, eseguire la procedura seguente.
**Per aggiornare uno stack per utilizzare un nuovo endpoint di interfaccia**
1. [Apri la console WorkSpaces Applicazioni a casa. https://console.aws.amazon.com/appstream2/](https://console.aws.amazon.com/appstream2/home)
Assicurati di aprire la console nella stessa AWS regione dell'endpoint di interfaccia che desideri utilizzare.
1. Nel riquadro di navigazione, scegliere **Stacks (Stack)**, quindi scegliere lo stack desiderato.
1. Seleziona la scheda **Endpoint VPC**, quindi seleziona **Modifica**.
1. Nella finestra di dialogo **Modifica endpoint VPC**, per **Endpoint di streaming**, scegli l'endpoint attraverso il quale desideri eseguire lo streaming del traffico.
1. Scegliere **Aggiorna**.
Il traffico per le nuove sessioni di streaming verrà instradato attraverso questo endpoint. Tuttavia, il traffico per le sessioni di streaming correnti continua a essere instradato attraverso l'endpoint specificato in precedenza.
**Nota**
Gli utenti non possono eseguire lo streaming utilizzando l'endpoint Internet quando viene specificato un endpoint dell'interfaccia.
# Accedi alle operazioni API delle WorkSpaces applicazioni e ai comandi CLI tramite un endpoint VPC di interfaccia
Se utilizzi Amazon Virtual Private Cloud per ospitare AWS le tue risorse, puoi connetterti direttamente alle operazioni dell'API delle WorkSpaces applicazioni o ai comandi dell'interfaccia a riga di comando (CLI) tramite un endpoint [VPC di interfaccia (endpoint](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) di interfaccia) nel tuo cloud privato virtuale (VPC) anziché connetterti tramite Internet. Gli endpoint di interfaccia sono alimentati da AWSPrivateLink, una tecnologia che consente di mantenere lo streaming del traffico all'interno di un VPC specificato utilizzando indirizzi IP privati. Quando si utilizza un endpoint di interfaccia, la comunicazione tra il VPC WorkSpaces e le applicazioni viene condotta in modo completo e sicuro all'interno della rete. AWS
**Nota**
Questo argomento descrive come accedere alle operazioni dell'API WorkSpaces Applications e ai comandi CLI tramite un endpoint di interfaccia. Per informazioni su come creare e trasmettere in streaming dagli endpoint dell'interfaccia WorkSpaces delle applicazioni, consulta. [Tutorial: creazione e streaming dagli endpoint VPC dell'interfaccia](creating-streaming-from-interface-vpc-endpoints.md)
**Prerequisiti**
Per utilizzare gli endpoint di interfaccia, è necessario soddisfare i seguenti prerequisiti:
+ I gruppi di sicurezza associati all'endpoint di interfaccia devono consentire l'accesso in entrata alla porta 443 (TCP) dall'intervallo di indirizzi IP da cui gli utenti si connettono.
+ La lista di controllo degli accessi di rete per le sottoreti deve consentire il traffico in uscita dalle porte di rete temporanee 1024-65535 (TCP) all'intervallo di indirizzi IP da cui gli utenti si connettono.
**Topics**
+ [
# Crea un endpoint di interfaccia per accedere alle WorkSpaces applicazioni, alle operazioni API e ai comandi CLI
](access-api-cli-through-interface-vpc-endpoint-create-interface-endpoint.md)
+ [
# Usa un endpoint di interfaccia per accedere alle WorkSpaces applicazioni, alle operazioni API e ai comandi CLI
](how-to-access-api-cli-through-interface-vpc-endpoint.md)
# Crea un endpoint di interfaccia per accedere alle WorkSpaces applicazioni, alle operazioni API e ai comandi CLI
Eseguire la procedura seguente per creare un endpoint di interfaccia.
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel riquadro di navigazione, seleziona **Endpoints (Endpoint)**, **Create Endpoint (Crea endpoint)**.
1. Scegliere **Create Endpoint** (Crea endpoint).
1. Per la **categoria Servizi**, assicurati che **AWSi servizi siano selezionati**.
1. Per **Service Name (Nome del servizio)**, selezionare **com.amazonaws.******.appstream.api**.
1. Specificare le seguenti informazioni: Al termine, selezionare **Create endpoint (Crea endpoint)**.
+ In **VPC**, selezionare un VPC in cui creare l'endpoint.
+ In **Subnets (Sottoreti)**, selezionare le sottoreti (zone di disponibilità) in cui creare le interfacce di rete dell'endpoint. Si consiglia di scegliere le sottoreti in almeno due zone di disponibilità.
+ Facoltativamente, è possibile selezionare la casella di controllo **Enable Private DNS Name (Abilita nome DNS privato)**.
**Nota**
Se si seleziona questa opzione, assicurarsi di configurare VPC e DNS in base alle esigenze per supportare il DNS privato. Per ulteriori informazioni, consulta [DNS privato](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-private-dns) nella *Guida per l'utente di Amazon VPC*.
+ In **Security group (Gruppo di sicurezza)**, selezionare i gruppi di sicurezza da associare alle interfacce di rete dell'endpoint.
**Nota**
I gruppi di sicurezza devono fornire l'accesso in entrata alle porte dall'intervallo di indirizzi IP da cui gli utenti si connettono.
Durante la creazione dell'endpoint di interfaccia, lo stato dell'endpoint nella console viene visualizzato come **Pending (In sospeso)**. Dopo aver creato l'endpoint, lo stato cambia in ** Available (Disponibile)**.
# Usa un endpoint di interfaccia per accedere alle WorkSpaces applicazioni, alle operazioni API e ai comandi CLI
Dopo lo stato dell'endpoint VPC dell'interfaccia su cui hai creato le modifiche a **Available**, puoi utilizzare l'endpoint per accedere alle operazioni dell'API WorkSpaces Applications e ai comandi CLI. A tale scopo, specificare il parametro `endpoint-url` con il nome DNS dell'endpoint di interfaccia quando si utilizzano queste operazioni e comandi. Il nome DNS è risolvibile pubblicamente, ma instrada correttamente il traffico solo nel VPC.
L'esempio seguente mostra come specificare il nome DNS dell'endpoint di interfaccia quando si utilizza il comando CLI **describe-fleets**:
```
aws appstream describe-fleets --endpoint-url .api.appstream..vpce.amazonaws.com
```
L'esempio seguente mostra come specificare il nome DNS dell'endpoint dell'interfaccia quando si istanzia il client Applications WorkSpaces Boto3 Python:
```
appstream2client = boto3.client('appstream',region_name='',endpoint_url='.api.appstream..vpce.amazonaws.com'
```
I comandi successivi che utilizzano l'oggetto `appstream2client` utilizzano automaticamente l'endpoint di interfaccia specificato.
Se sono stati abilitati i nomi host DNS privati sull'endpoint di interfaccia, non è necessario specificare l'URL dell'endpoint. Il nome host DNS dell'API WorkSpaces delle applicazioni utilizzato per impostazione predefinita dall'API e dalla CLI si risolve all'interno del tuo VPC. Per ulteriori informazioni sui nomi host DNS privati consulta re [DNS privato](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-private-dns) nella *Guida per l'utente di Amazon VPC*.
# Protezione dei dati in transito con gli endpoint FIPS
Per impostazione predefinita, quando comunichi con il servizio WorkSpaces Applicazioni, sia come amministratore che utilizza la console WorkSpaces Applicazioni, l'interfaccia a riga di AWS comando (AWS CLI) o un AWS SDK, sia come utente che esegue lo streaming da un generatore di immagini o un'istanza della flotta, tutti i dati in transito vengono crittografati utilizzando TLS 1.2.
Se hai bisogno di moduli crittografici convalidati FIPS 140-2 per l'accesso AWS tramite un'interfaccia a riga di comando o un'API, utilizza un endpoint FIPS. WorkSpaces Applications offre endpoint FIPS in tutte le AWS regioni degli Stati Uniti d'America in cui WorkSpaces Applications è disponibile. Quando si utilizza un endpoint FIPS, tutti i dati in transito vengono crittografati utilizzando standard crittografici conformi al Federal Information Processing Standard (FIPS) 140-2. Per informazioni sugli endpoint FIPS, incluso un elenco degli endpoint delle WorkSpaces applicazioni, vedere [Federal Information Processing Standard](https://aws.amazon.com/compliance/fips) (FIPS) 140-2.
**Topics**
+ [
# Endpoint FIPS per uso amministrativo
](FIPS-for-administrative-use.md)
+ [
# Endpoint FIPS per sessioni di streaming degli utenti
](FIPS-for-user-streaming-sessions.md)
+ [
# Eccezioni
](FIPS-exceptions.md)
# Endpoint FIPS per uso amministrativo
Per specificare un endpoint FIPS quando si esegue un AWS CLI comando per Applicazioni, utilizzare il parametro. WorkSpaces `endpoint-url` L'esempio seguente utilizza l'endpoint FIPS WorkSpaces delle applicazioni nella regione Stati Uniti occidentali (Oregon) per recuperare un elenco di tutti gli stack nella regione:
```
aws appstream describe-stacks --endpoint-url https://appstream2-fips.us-west-2.amazonaws.com
```
Per specificare un endpoint FIPS per WorkSpaces le operazioni dell'API Applications, utilizzate la procedura nell'SDK per specificare un endpoint personalizzato AWS .
# Endpoint FIPS per sessioni di streaming degli utenti
Se si utilizza SAML 2.0 o un URL di streaming per autenticare gli utenti, è possibile configurare connessioni conformi a FIPS per le sessioni di streaming degli utenti.
Per utilizzare una connessione conforme a FIPS per gli utenti che effettuano l'autenticazione tramite SAML 2.0, specifica un endpoint FIPS delle WorkSpaces applicazioni quando configuri lo stato di inoltro della federazione. Per ulteriori informazioni sulla creazione di un URL dello stato del relay per la federazione delle identità utilizzando SAML 2.0, consulta [Configurazione del linguaggio SAML](external-identity-providers-setting-up-saml.md).
Per configurare una connessione conforme a FIPS per gli utenti che effettuano l'autenticazione tramite un URL di streaming, specifica un endpoint FIPS WorkSpaces delle applicazioni quando richiami l'URL o l'[CreateImageBuilderStreamingoperazione](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateImageBuilderStreamingURL.html) URL dalla CLI [CreateStreamingo](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateStreamingURL.html) da un SDK. AWS AWS Un utente che si connette a un'istanza di streaming utilizzando l'URL risultante è connesso tramite una connessione conforme a FIPS. L'esempio seguente utilizza l'endpoint FIPS WorkSpaces delle applicazioni nella regione Stati Uniti orientali (Virginia) per generare un URL di streaming conforme allo standard FIPS:
```
aws appstream create-streaming-url --stack-name stack-name --fleet-name fleet-name --user-id user-id --endpoint-url https://appstream2-fips.us-east-1.amazonaws.com
```
# Eccezioni
Le connessioni conformi a FIPS non sono supportate nei seguenti scenari:
+ Amministrazione delle applicazioni tramite la console Applicazioni WorkSpaces WorkSpaces
+ Sessioni di streaming per gli utenti che si autenticano utilizzando la funzionalità del pool di utenti WorkSpaces delle Applicazioni
+ Streaming tramite un endpoint VPC dell'interfaccia
+ Generazione di streaming conforme a FIPS tramite la console Applicazioni URLs WorkSpaces
+ Connessioni a Google Drive o account di OneDrive archiviazione in cui il provider di archiviazione non fornisce un endpoint FIPS
# Gruppi di sicurezza nelle WorkSpaces applicazioni Amazon
Puoi fornire un controllo di accesso aggiuntivo al tuo VPC da istanze di streaming in un parco istanze o da un generatore di immagini in WorkSpaces Amazon Applications associandole a gruppi di sicurezza VPC. I gruppi di sicurezza che appartengono al tuo VPC ti consentono di controllare il traffico di rete tra WorkSpaces le istanze di streaming delle applicazioni e le risorse VPC come server di licenza, file server e server di database. Per ulteriori informazioni, consulta [Gruppi di sicurezza per il VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) nella *Guida per l'utente di Amazon VPC*.
Le regole che definisci per il gruppo di sicurezza VPC sono applicate quando il gruppo di sicurezza è associato a un parco istanze o a uno sviluppatore di immagini. Le regole per il gruppo di sicurezza determinano quale traffico di rete è consentito a partire dalle istanze di streaming. Per ulteriori informazioni, consulta [Regole del gruppo di sicurezza](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#SecurityGroupRules) nella *Guida per l'utente di Amazon VPC*.
Puoi associare fino a cinque gruppi di sicurezza durante l'avvio di un nuovo sviluppatore di immagini o la creazione di un parco istanze. È inoltre possibile associare gruppi di sicurezza a un parco istanze esistente o modificare i gruppi di sicurezza per un parco istanze (per modificare i gruppi di sicurezza per un parco istanze, è necessario prima arrestare il parco istanze). Per ulteriori informazioni, consulta [Utilizzo dei gruppi di sicurezza](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups) nella *Guida per l'utente di Amazon VPC*.
Se non selezioni un gruppo di sicurezza, lo sviluppatore di immagini o il parco istanze viene associato al gruppo di sicurezza predefinito per il VPC. Per ulteriori informazioni, consulta [Gruppo di sicurezza predefinito per VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#DefaultSecurityGroup) nella *Guida per l'utente di Amazon VPC*.
Utilizza queste considerazioni aggiuntive quando utilizzi i gruppi di sicurezza con le applicazioni. WorkSpaces
+ I gruppi di sicurezza associati all'istanza di streaming hanno effetto su tutti i dati degli utenti finali, come il traffico Internet, i dati della home directory o la comunicazione delle applicazioni con risorse VPC.
+ I gruppi di sicurezza non hanno effetto sui dati di pixel di streaming.
+ Se hai abilitato l'accesso a Internet predefinito per il parco istanze o lo sviluppatore di immagini, le regole del gruppi di sicurezza associati devono consentire l'accesso a Internet.
Puoi creare o modificare le regole per i gruppi di sicurezza o creare gruppi di sicurezza utilizzando la console Amazon VPC.
+ **Per associare gruppi di sicurezza a un Image Builder**, segui le istruzioni riportate in [Avvio di uno sviluppatore di immagini per installare e configurare applicazioni per lo streaming](tutorial-image-builder-create.md).
+ **Per associare gruppi di sicurezza a un parco istanze**
+ *Durante la creazione del parco istanze*, segui le istruzioni riportate in [Crea una flotta nelle WorkSpaces applicazioni Amazon](set-up-stacks-fleets-create.md).
+ *Per un parco istanze esistente*, modifica le impostazioni del parco istanze utilizzando la Console di gestione AWS.
Puoi anche associare i gruppi di sicurezza alle tue flotte utilizzando and. AWS CLI SDKs
+ **AWS CLI**: usa i comandi [create-fleet](https://docs.aws.amazon.com/cli/latest/reference/appstream/create-fleet.html) e [update-fleet](https://docs.aws.amazon.com/cli/latest/reference/appstream/update-fleet.html).
+ **AWS SDKs**— Utilizza le operazioni [CreateFleet](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateFleet.html)e [UpdateFleet](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_UpdateFleet.html)API.
Per ulteriori informazioni, consulta la [Guida per l'utente di AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/) e gli [strumenti per Amazon Web Services](https://aws.amazon.com/tools/).
# Gestione degli aggiornamenti nelle WorkSpaces applicazioni Amazon
WorkSpaces Applications offre un modo automatizzato per aggiornare il tuo generatore di immagini con il software WorkSpaces Applications più recente. Quando le immagini sono configurate per utilizzare sempre la versione più recente dell'agente WorkSpaces Applications, le istanze di streaming vengono aggiornate automaticamente con le funzionalità, i miglioramenti delle prestazioni e gli aggiornamenti di sicurezza più recenti disponibili da. AWS Per informazioni su come gestire WorkSpaces le versioni dell'agente Applications, consulta[Gestione WorkSpaces delle versioni di Applications Agent](base-images-agent.md).
Devi installare e mantenere gli aggiornamenti per il sistema operativo Windows, le applicazioni e le loro dipendenze. Per ulteriori informazioni, consulta [Mantieni l'immagine WorkSpaces delle tue applicazioni Amazon Up-to-Date](keep-image-updated.md).
È possibile mantenere l'immagine WorkSpaces delle applicazioni up-to-date utilizzando gli aggiornamenti gestiti WorkSpaces delle immagini delle applicazioni. Questo metodo di aggiornamento fornisce gli ultimi aggiornamenti del sistema operativo Windows e gli aggiornamenti dei driver e il software dell'agente WorkSpaces Applications più recente. Per ulteriori informazioni, consulta [Aggiornare un'immagine utilizzando Managed WorkSpaces Applications Image Updates](keep-image-updated-managed-image-updates.md).
Per gestire gli aggiornamenti per le applicazioni nelle istanze di streaming, puoi utilizzare tutti i servizi di aggiornamento automatico forniti. Puoi anche seguire i suggerimenti per l'installazione degli aggiornamenti forniti dal fornitore dell'applicazione.
# Amazon WorkSpaces Applications Cross-Service Confused Deputy Prevention
Con "confused deputy" si intende un problema di sicurezza in cui un'entità che non dispone dell'autorizzazione per eseguire una certa operazione costringe un'entità con più privilegi a eseguire tale operazione. In AWS, la rappresentazione tra servizi può lasciare le risorse dell'account vulnerabili al problema "confused deputy". La rappresentazione tra servizi si verifica quando un servizio (il *servizio chiamante*) effettua una chiamata a un altro servizio (il *servizio chiamato*). Il servizio chiamante può manipolare il servizio chiamato in modo da utilizzarne le autorizzazioni per agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso, tramite il servizio stesso. Per evitare che ciò accada, AWS fornisce strumenti che ti aiutano a proteggere i tuoi dati per tutti i servizi con responsabili dei servizi che hanno accesso alle risorse del tuo account.
Consigliamo di utilizzare le chiavi di contesto delle condizioni globali `aws:SourceArn` e `aws:SourceAccount` nelle policy delle risorse per limitare le autorizzazioni quando si accede a tali risorse. Le seguenti linee guida descrivono nel dettaglio i suggerimenti e i requisiti da rispettare quando utilizzi queste chiavi per proteggere le risorse:
+ Utilizza `aws:SourceArn` se desideri consentire l'associazione di una sola risorsa all'accesso tra servizi.
+ Utilizza `aws:SourceAccount` se desideri consentire l'associazione di qualsiasi risorsa nell'account specificato all'uso tra servizi.
+ Se il valore `aws:SourceArn` non contiene un ID account, devi utilizzare entrambe le chiavi di contesto delle condizioni globali (`aws:SourceArn` e `aws:SourceAccount`) per limitare le autorizzazioni.
+ Se utilizzi entrambe le chiavi di contesto delle condizioni globali e il valore `aws:SourceArn` contiene un ID account, la chiave `aws:SourceAccount` deve utilizzare lo stesso ID account quando utilizzata nella stessa istruzione di policy.
Il modo più efficace per proteggersi dal problema "confused deputy" è quello di usare il nome della risorsa Amazon (ARN) esatto della risorsa che vuoi autorizzare. Se non conosci l'ARN completo della risorsa, usa la chiave di contesto della condizione globale `aws:SourceArn` con caratteri jolly (ad esempio, \$1) per le parti sconosciute dell'ARN. Inoltre, puoi utilizzare un carattere jolly nell'ARN se desideri specificare più risorse. Ad esempio, puoi dare all'ARN un formato come `arn:aws:servicename::region-name::your Account AWS ID:*`.
**Topics**
+ [
# Esempio: ruolo di servizio WorkSpaces delle applicazioni, prevenzione alternativa confusa tra diversi servizi
](example-confused-deputy.md)
+ [
# Esempio: flotta di WorkSpaces applicazioni, macchine, ruolo, servizi, servizi confusi, prevenzione degli interventi
](example-fleet-machine.md)
+ [
# Esempio: WorkSpaces Applicazioni, Elastic fleets, script di sessione, policy sui bucket di Amazon S3, cross-service, prevenzione confusa
](example-elastic-fleets.md)
+ [
# Esempio: WorkSpaces applicazioni, applicazione, policy sui bucket di Amazon S3, prevenzione della confusione tra diversi servizi
](example-s3-bucket.md)
# Esempio: ruolo di servizio WorkSpaces delle applicazioni, prevenzione alternativa confusa tra diversi servizi
WorkSpaces Le applicazioni assumono un ruolo di servizio utilizzando una varietà di risorse ARNs, il che porta a una complicata dichiarazione condizionale. Si consiglia di utilizzare un tipo di risorsa wildcard per prevenire eventuali guasti imprevisti delle risorse WorkSpaces delle Applicazioni.
**Example `aws:SourceAccount` Condizionale:**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"appstream.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "your Account AWS ID"
}
}
}
]
}
```
**Example `aws:SourceArn` Condizionale:**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"appstream.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:appstream:us-east-1:111122223333:*"
}
}
}
]
}
```
# Esempio: flotta di WorkSpaces applicazioni, macchine, ruolo, servizi, servizi confusi, prevenzione degli interventi
**Example `aws:SourceAccount` Condizionale:**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"appstream.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "your Account AWS ID"
}
}
}
]
}
```
**Example `aws:SourceArn` Condizionale:**
Se desideri utilizzare un ruolo IAM per più flotte, ti consigliamo di utilizzare la chiave `aws:SourceArn` global context condition con wildcards (\$1) per abbinare più risorse della flotta di WorkSpaces applicazioni.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"appstream.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:appstream:us-east-1:111122223333:fleet/your-fleet-name"
}
}
}
]
}
```
# Esempio: WorkSpaces Applicazioni, Elastic fleets, script di sessione, policy sui bucket di Amazon S3, cross-service, prevenzione confusa
**Example `aws:SourceAccount` Condizionale:**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"appstream.amazonaws.com"
]
},
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::your-bucket-name/your-session-script-path",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "your Account AWS ID"
}
}
}
]
}
```
**Example `aws:SourceArn` Condizionale:**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"appstream.amazonaws.com"
]
},
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::bucket/AppStream2/*",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:appstream:us-east-1:111122223333:fleet/yourFleetName"
}
}
}
]
}
```
# Esempio: WorkSpaces applicazioni, applicazione, policy sui bucket di Amazon S3, prevenzione della confusione tra diversi servizi
Quando si archiviano i dati in un bucket S3, è possibile che il bucket sia esposto a problemi "confused deputy". Ciò può lasciare dati come i parchi istanze elastici, i blocchi app, gli script di configurazione, le icone delle applicazioni e gli script di sessione vulnerabili a operazioni da parte di utenti malintenzionati.
Per evitare problemi "confused deputy", puoi specificare la condizione `aws:SourceAccount` o `aws:SourceArn` nella policy del bucket di Amazon S3 per. `ELASTIC-FLEET-EXAMPLE-BUCKET`
Le policy delle risorse riportate di seguito mostrano come evitare problemi "confused deputy" con una delle seguenti soluzioni:
+ Poi `aws:SourceAccount` con l'ID del tuo account AWS
+ La chiave di contesto delle condizioni globali `aws:SourceArn`
WorkSpaces Al momento, Applications non supporta la prevenzione confusa delle icone delle applicazioni. Il servizio supporta solo file VHD e script di configurazione. Se tenti di aggiungere ulteriori condizioni per le icone delle applicazioni, queste non verranno visualizzate dagli utenti finali.
Nell'esempio seguente, la policy bucket consente l'accesso `ELASTIC_FLEET_EXAMPLE_BUCKET` solo alle risorse della flotta di WorkSpaces Applications Elastic presenti nell'account del proprietario.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ConfusedDeputyPreventionExamplePolicy",
"Effect": "Allow",
"Principal": {
"Service": "appstream.amazonaws.com"
},
"Action": "s3:GetObject",
"Resource": [
"arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/vhd-folder/*",
"arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/scripts/*"
],
"Condition": {
"StringEquals": {
"aws:SourceAccount": "your Account AWS ID"
}
}
},
{
"Sid": "AllowRetrievalPermissionsToS3AppIconsForAppStream",
"Effect": "Allow",
"Principal": {
"Service": "appstream.amazonaws.com"
},
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/app-icons/*"
}
]
}
```
------
È inoltre possibile utilizzare la condizione `aws:SourceArn` per limitare l'accesso alle risorse per risorse specifiche.
**Nota**
Se conosci l'ARN completo di una risorsa o vuoi specificare più risorse, usa la chiave di contesto delle condizioni globali `aws:SourceArn` con caratteri jolly (\$1) per le parti sconosciute dell'ARN.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ConfusedDeputyPreventionExamplePolicy",
"Effect": "Allow",
"Principal": {
"Service": "appstream.amazonaws.com"
},
"Action": "s3:GetObject",
"Resource": [
"arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/vhd-folder/*",
"arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/scripts/*"
],
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:appstream:us-east-1:111122223333:app-block/*"
}
}
},
{
"Sid": "AllowRetrievalPermissionsToS3AppIconsForAppStream",
"Effect": "Allow",
"Principal": {
"Service": "appstream.amazonaws.com"
},
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/app-icons/*"
}
]
}
```
------
Puoi utilizzare le condizioni `aws:SourceArn` e `aws:SourceAccount` per limitare l'accesso alle risorse per risorse specifiche.
**Nota**
Se conosci l'ARN completo di una risorsa o se vuoi specificare più risorse, usa la chiave di contesto delle condizioni globali `aws:SourceArn` con caratteri jolly (\$1) per le parti sconosciute dell'ARN.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ConfusedDeputyPreventionExamplePolicy",
"Effect": "Allow",
"Principal": {
"Service": "appstream.amazonaws.com"
},
"Action": "s3:GetObject",
"Resource": [
"arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/vhd-folder/*",
"arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/scripts/*"
],
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:appstream:us-east-1:111122223333:app-block/*"
},
"StringEquals": {
"aws:SourceAccount": "your AWS account ID"
}
}
},
{
"Sid": "AllowRetrievalPermissionsToS3AppIconsForAppStream",
"Effect": "Allow",
"Principal": {
"Service": "appstream.amazonaws.com"
},
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/app-icons/*"
}
]
}
```
------
# Best practice di sicurezza nelle WorkSpaces applicazioni Amazon
La sicurezza cloud di Amazon Web Services (AWS) è la priorità più alta. La sicurezza e la conformità sono una responsabilità condivisa tra AWS e il cliente. Per ulteriori informazioni, consulta il [https://aws.amazon.com/compliance/shared-responsibility-model/](https://aws.amazon.com/compliance/shared-responsibility-model/). In qualità di cliente di AWS and WorkSpaces Applications, è importante implementare misure di sicurezza su diversi livelli, ad esempio stack, fleet, image e networking.
A causa della sua natura effimera, WorkSpaces Applications è spesso preferita come soluzione sicura per la distribuzione di applicazioni e desktop. Valuta se le soluzioni antivirus comuni nelle distribuzioni di Windows sono pertinenti nei casi d'uso per un ambiente predefinito ed eliminato alla fine di una sessione utente. L'antivirus aggiunge un sovraccarico alle istanze virtualizzate, quindi è una best practice per mitigare le attività non necessarie. Ad esempio, la scansione del volume di sistema (che è temporaneo) all'avvio, ad esempio, non aumenta la sicurezza complessiva delle applicazioni. WorkSpaces
Le due domande chiave per le WorkSpaces applicazioni di sicurezza sono incentrate su:
+ La persistenza dello stato utente oltre la sessione è un requisito?
+ Quanto accesso deve avere un utente all'interno di una sessione?
**Topics**
+ [
# Protezione dei dati persistenti
](securing-persistent-data.md)
+ [
# Sicurezza degli endpoint e antivirus
](endpoint-security-antivirus.md)
+ [
# Esclusioni di rete
](network-exclusions.md)
+ [
# Protezione di una sessione di applicazioni WorkSpaces
](securing-session.md)
+ [
# Firewall e routing
](firewalls-routing.md)
+ [
# Prevenzione della perdita di dati
](data-loss-prevention.md)
+ [
# Controllo del traffico in uscita
](controlling-egress-traffic.md)
+ [
# Utilizzo dei servizi AWS
](using-services.md)
# Protezione dei dati persistenti
Le distribuzioni di WorkSpaces applicazioni possono richiedere che lo stato dell'utente persista in qualche modo. Potrebbe trattarsi di rendere persistenti i dati per singoli utenti o di rendere persistenti i dati per la collaborazione utilizzando una cartella condivisa. AppStreamLo storage di istanze 2.0 è effimero e non prevede alcuna opzione di crittografia.
WorkSpaces Le applicazioni forniscono la persistenza dello stato utente tramite le cartelle home e le impostazioni delle applicazioni in Amazon S3. Alcuni casi d'uso richiedono un maggiore controllo sulla persistenza dello stato utente. Per questi casi d'uso, AWS consiglia di utilizzare una condivisione di file Server Message Block (SMB).
## Stato e dati dell'utente
Poiché la maggior parte delle applicazioni Windows offre prestazioni migliori e più sicure se collocate insieme ai dati delle applicazioni creati dall'utente, è consigliabile conservare questi dati nello stesso Regione AWS ambiente delle flotte di WorkSpaces applicazioni. La crittografia di questi dati è una procedura consigliata. Il comportamento predefinito della cartella home dell'utente consiste nel crittografare file e cartelle inattivi utilizzando chiavi di crittografia gestite da Amazon S3 dai servizi di gestione delle AWS chiavi ().AWS KMSÈ importante notare che gli utenti AWS amministrativi con accesso alla AWS console o al bucket Amazon S3 potranno accedere direttamente a tali file.
Nei progetti che richiedono un target Server Message Block (SMB) proveniente da una condivisione di file di Windows per archiviare file e cartelle utente, il processo è automatico o richiede una configurazione.
*Tabella 5 — Opzioni per la protezione dei dati degli utenti*
| **Obiettivo SMB** | **Encryption-at-rest** | **Encryption-in-transit** | **Antivirus (AV)** |
| --- | --- | --- | --- |
| FSx per Windows File Server | [https://docs.aws.amazon.com/fsx/latest/WindowsGuide/encryption-at-rest.html](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/encryption-at-rest.html) | [https://docs.aws.amazon.com/fsx/latest/WindowsGuide/encryption-in-transit.html](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/encryption-in-transit.html) | L'AV installato su un'istanza remota esegue la scansione sull'unità mappata |
| **Gateway di file, Gateway AWS di archiviazione** | Per impostazione predefinita, tutti i dati archiviati da Gateway di archiviazione AWS S3 sono crittografati lato server con Amazon S3 Managed Encryption Keys (SSE-S3). Facoltativamente, puoi configurare diversi tipi di gateway per crittografare i dati archiviati con (KMS) AWS Key Management Service | Tutti i dati trasferiti tra qualsiasi tipo di dispositivo gateway e AWS storage sono crittografati tramite SSL. | L'AV installato su un'istanza remota esegue la scansione sull'unità mappata |
| File server Windows basati su EC2 | [Abilita la crittografia EBS](https://docs.aws.amazon.com/kms/latest/developerguide/services-ebs.html) | PowerShell; Set- SmbServerConfiguration – EncryptData \$1True | L'AV installato sul server esegue la scansione sulle unità locali |
# Sicurezza degli endpoint e antivirus
La breve natura effimera delle istanze delle WorkSpaces applicazioni e la mancanza di persistenza dei dati richiedono un approccio diverso per garantire che l'esperienza utente e le prestazioni non siano compromesse da attività che sarebbero necessarie su un desktop persistente. Gli agenti di Endpoint Security vengono installati nelle immagini WorkSpaces delle Applicazioni quando esiste una politica organizzativa o quando vengono utilizzati con dati esterni, ad esempio e-mail, ingresso di file, navigazione Web esterna.
## Rimozione di identificatori univoci
Gli agenti di Endpoint Security possono avere un identificatore univoco globale (GUID) che deve essere reimpostato durante il processo di creazione del parco istanze. I fornitori dispongono di istruzioni sull'installazione dei loro prodotti nelle immagini che assicureranno la generazione di un nuovo GUID per ogni istanza generata da un'immagine.
Per garantire che il GUID non venga generato, installa l'agente Endpoint Security come ultima azione prima di eseguire l' WorkSpaces Applications Assistant per generare l'immagine.
## Ottimizzazione delle prestazioni
I fornitori di Endpoint Security forniscono switch e impostazioni che ottimizzano le prestazioni delle applicazioni. WorkSpaces Le impostazioni variano da un fornitore all'altro e sono disponibili nella relativa documentazione, in genere in una sezione dedicata alla VDI. Alcune impostazioni comuni includono, a titolo esemplificativo ma non esaustivo:
+ Disattiva le scansioni di avvio per garantire che i tempi di creazione, avvio e accesso delle istanze siano ridotti al minimo
+ Disattiva le scansioni pianificate per evitare scansioni non necessarie
+ Disattiva le cache delle firme per impedire l'enumerazione dei file
+ Abilita le impostazioni IO ottimizzate per VDI
+ Esclusioni richieste dalle applicazioni per garantire le prestazioni
I fornitori di sicurezza degli endpoint forniscono istruzioni per l'uso con ambienti desktop virtuali che ottimizzano le prestazioni.
+ [Supporto Trend Micro Office Scan per l'infrastruttura desktop virtuale - Apex One/ OfficeScan (](https://success.trendmicro.com/solution/1055260-best-practice-for-setting-up-virtual-desktop-infrastructure-vdi-in-officescan)trendmicro.com)
+ CrowdStrike e [come installare Falcon nel CrowdStrike ](https://www.crowdstrike.com/blog/tech-center/install-falcon-datacenter/) data center
+ Sophos e [Sophos Central Endpoint: Come eseguire l'installazione su un'immagine gold per evitare identità duplicate](https://support.sophos.com/support/s/article/KB-000035040?language=en_US) e [Sophos Central: best practice per l'installazione di Windows Endpoint in ambienti desktop virtuali](https://support.sophos.com/support/s/article/KB-000039009?language=en_US)
+ McAfee e il [provisioning e la distribuzione degli McAfee agenti](https://kc.mcafee.com/corporate/index?page=content&id=KB87654) su sistemi di infrastruttura desktop virtuale
+ Microsoft Endpoint Security e [configurazione di Microsoft Defender Antivirus per macchine VDI non persistenti](https://techcommunity.microsoft.com/t5/microsoft-defender-for-endpoint/configuring-microsoft-defender-antivirus-for-non-persistent-vdi/ba-p/1489633) - Microsoft Tech Community
## Esclusioni dalla scansione
Se il software di sicurezza è installato nelle istanze WorkSpaces delle Applicazioni, il software di sicurezza non deve interferire con i seguenti processi.
*Tabella 6 — Processi WorkSpaces applicativi Il software di sicurezza non deve interferire con i seguenti processi.*
| **Servizio** | **Processes** |
| --- | --- |
| AmazonCloudWatchAgent | «C:\$1Program Files\$1 Amazon\$1AmazonCloudWatchAgent\$1 start-amazon-cloudwatch-agent.exe» |
| AmazonSSMAgent | «C:\$1Program Files\$1 Amazon\$1 SSM\$1 amazon-ssm-agent .exe» |
| NICE DCV | "C:\$1Program File\$1 NICE\$1 DCV\$1 Server\$1 bin\$1 dcvserver.exe» "C:\$1Program File\$1 NICE\$1 DCV\$1 Server\$1 bin\$1 dcvagent.exe» |
| WorkSpaces Applicazioni | «C:\$1Program Files\$1 Amazon\$1 AppStream 2\$1StorageConnector\$1 StorageConnector .exe» Nella cartella "C:\$1Program Files\$1 Amazon\$1 Photon\$1» ». \$1 Agente\$1 PhotonAgent .exe» ». \$1 Agente\$1 s5cmd.exe» ». \$1WebServer\$1 PhotonAgentWebServer .exe» ». \$1CustomShell\$1 PhotonWindowsAppSwitcher .exe» ». \$1CustomShell\$1 PhotonWindowsCustomShell .exe» ». \$1CustomShell\$1 PhotonWindowsCustomShellBackground .exe» |
## Cartelle
Se il software di sicurezza è installato nelle istanze WorkSpaces delle Applicazioni, il software non deve interferire con le seguenti cartelle:
**Example**
```
C:\Program Files\Amazon\*
C:\ProgramData\Amazon\*
C:\Program Files (x86)\AWS Tools\*
C:\Program Files (x86)\AWS SDK for .NET\*
C:\Program Files\NICE\*
C:\ProgramData\NICE\*
C:\AppStream\*
```
## Igiene della console di sicurezza degli endpoint
WorkSpaces Le applicazioni creeranno nuove istanze uniche ogni volta che un utente si connette oltre i timeout di inattività e disconnessione. Le istanze avranno un nome univoco e verranno inserite nelle condoglianze di gestione della sicurezza degli endpoint. L'impostazione dell'eliminazione di macchine obsolete non utilizzate più vecchie di 4 o più giorni (o meno a seconda dei timeout WorkSpaces delle sessioni delle Applicazioni) ridurrà al minimo il numero di istanze scadute nella console.
# Esclusioni di rete
L'intervallo di rete di gestione delle WorkSpaces applicazioni (`198.19.0.0/16`) e le porte e gli indirizzi seguenti non devono essere bloccati da alcuna soluzione di sicurezza/firewall o antivirus all'interno WorkSpaces delle istanze di Applications.
*Tabella 7 — Porte nelle WorkSpaces Applicazioni, istanze in streaming, il software di sicurezza non deve interferire con*
| **Porta** | **Utilizzo** |
| --- | --- |
| 8300 | Viene utilizzato per stabilire la connessione di streaming |
| 3128 | Viene utilizzato per gestire l'istanza di streaming da parte WorkSpaces delle applicazioni |
| 8000 | Viene utilizzato per gestire l'istanza di streaming da parte WorkSpaces delle applicazioni |
| 8443 | Viene utilizzato per gestire l'istanza di streaming da parte WorkSpaces delle applicazioni |
| 53 | DNS |
*Tabella 8 — Gli indirizzi dei servizi gestiti WorkSpaces delle applicazioni con cui il software di sicurezza non deve interferire*
| **Porta** | **Utilizzo** |
| --- | --- |
| 169.254.169123 | NTP |
| 169,254,169,249 | Servizio di licenza NVIDIA GRID |
| 169,254,169,250 | KMS |
| 169,254,169,251 | KMS |
| 169,254,169,253 | DNS |
| 169,254,169,254 | Metadati |
# Protezione di una sessione di applicazioni WorkSpaces
## Limitazione dei controlli delle applicazioni e del sistema operativo
WorkSpaces Le applicazioni offrono all'amministratore la possibilità di specificare esattamente quali applicazioni possono essere avviate dalla pagina Web in modalità streaming delle applicazioni. Tuttavia, ciò non garantisce che possano essere eseguite solo le applicazioni specificate.
Le utilità e le applicazioni di Windows possono essere avviate tramite il sistema operativo con mezzi aggiuntivi. AWS consiglia di utilizzare [https://aws.amazon.com/blogs/desktop-and-application-streaming/using-microsoft-applocker-to-manage-application-experience-on-amazon-appstream-2-0/](https://aws.amazon.com/blogs/desktop-and-application-streaming/using-microsoft-applocker-to-manage-application-experience-on-amazon-appstream-2-0/) per garantire che possano essere eseguite solo le applicazioni richieste dall'organizzazione. Le regole predefinite devono essere modificate, in quanto garantiscono a tutti l'accesso tramite percorsi alle directory di sistema critiche.
**Nota**
Windows Server 2016 e 2019 richiedono l'esecuzione del servizio Windows Application Identity per applicare le regole AppLocker . L'accesso alle WorkSpaces applicazioni da Applicazioni che utilizzano Microsoft AppLocker è dettagliato nella [Guida per l'AppStream amministratore.](https://docs.aws.amazon.com/appstream2/latest/developerguide/data-protection.html#application-access)
Per le istanze del parco istanze unite a un dominio Active Directory, utilizzate Group Policy Objects (GPOs) per fornire impostazioni utente e di sistema per proteggere l'accesso alle applicazioni e alle risorse degli utenti.
# Firewall e routing
Quando si crea un parco di WorkSpaces applicazioni, è necessario assegnare sottoreti e un gruppo di sicurezza. Le sottoreti dispongono già delle assegnazioni delle liste di controllo dell'accesso alla rete (NACLs) e delle tabelle di routing. È possibile associare [fino a cinque gruppi di sicurezza](https://docs.aws.amazon.com/appstream2/latest/developerguide/managing-network-security-groups.html) durante l'avvio di un nuovo generatore di immagini o durante la creazione di una nuova flotta. I gruppi di sicurezza possono avere fino a [cinque assegnazioni tra](https://docs.aws.amazon.com/appstream2/latest/developerguide/managing-network-security-groups.html) i gruppi di sicurezza esistenti. Per ogni gruppo di sicurezza, aggiungi regole che controllano il traffico di rete in uscita e in entrata da e verso le tue istanze
Un NACL è un livello di sicurezza opzionale per il tuo VPC che funge da firewall stateless per controllare il traffico in entrata e in uscita da una o più sottoreti. Potresti configurare una rete ACLs con regole simili ai tuoi gruppi di sicurezza per aggiungere un ulteriore livello di sicurezza al tuo VPC. Per ulteriori informazioni sulle differenze tra gruppi di sicurezza e rete ACLs, [consulta la NACLs pagina di confronto tra gruppi di sicurezza e](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html#VPC_Security_Comparison) rete.
Quando progetti e applichi le regole Security Group e NACL, prendi in considerazione le best practice di AWS Well-Architected per il privilegio minimo. Il *privilegio minimo* è il principio di concessione solo delle autorizzazioni necessarie per completare un'attività.
Per i clienti che dispongono di una rete privata ad alta velocità che collega il proprio ambiente locale ad AWS (tramite AWS Direct Connect), potresti prendere in considerazione l'utilizzo degli endpoint VPC per AppStream, il che significa che il traffico di streaming verrà instradato tramite la connettività di rete privata anziché attraverso la rete Internet pubblica. Per ulteriori informazioni su questo argomento, consulta la sezione WorkSpaces Applications Streaming Interface VPC endpoint di questo documento.
# Prevenzione della perdita di dati
Esamineremo due tipi di prevenzione della perdita di dati.
## Controlli per il trasferimento dei dati da istanza Client a AppStream 2.0
*Tabella 9 — Linee guida per il controllo dell'ingresso e dell'uscita dei dati*
| **Impostazione** | **Opzioni** | **Linee guida** |
| --- | --- | --- |
| Appunti | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/appstream2/latest/developerguide/data-loss-prevention.html) | La disabilitazione di questa impostazione non disabilita il copia e incolla all'interno della sessione. Se è necessario copiare i dati nella sessione, scegliete Incolla solo nella sessione remota per ridurre al minimo il rischio di perdita di dati. |
| Trasferimento di file | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/appstream2/latest/developerguide/data-loss-prevention.html) | Evita di abilitare questa impostazione per prevenire la perdita di dati. |
| Stampa su dispositivo locale | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/appstream2/latest/developerguide/data-loss-prevention.html) | Se è necessaria la stampa, utilizzate stampanti mappate di rete controllate e monitorate dall'organizzazione. |
Considerate i vantaggi della soluzione esistente per il trasferimento dei dati organizzativi rispetto alle impostazioni dello stack. Queste configurazioni non sono progettate per sostituire una soluzione completa e sicura per il trasferimento dei dati.
# Controllo del traffico in uscita
Laddove la perdita di dati è un problema, è importante nascondere ciò a cui un utente può accedere una volta entrato nell'istanza WorkSpaces Applications. Che aspetto ha il percorso di uscita (o uscita) della rete? È un requisito comune che l'utente finale disponga dell'accesso pubblico a Internet all'interno dell'istanza WorkSpaces Applications, pertanto è necessario prendere in considerazione l'inserimento di una WebProxy o più soluzioni di filtraggio dei contenuti nel percorso di rete. Altre considerazioni includono un'applicazione antivirus locale e altre misure di sicurezza degli endpoint all'interno dell' AppStream istanza (per ulteriori informazioni, consulta la sezione «Endpoint Security and Antivirus»).
# Utilizzo dei servizi AWS
## AWS Identity and Access Management
L'utilizzo di un ruolo IAM per accedere ai AWS servizi e la specificità della policy IAM ad esso associata è una best practice che consente l'accesso solo agli utenti WorkSpaces delle sessioni delle Applicazioni senza dover gestire credenziali aggiuntive. Segui le [https://docs.aws.amazon.com/appstream2/latest/developerguide/using-iam-roles-to-grant-permissions-to-applications-scripts-streaming-instances.html#best-practices-for-using-iam-role-with-streaming-instances](https://docs.aws.amazon.com/appstream2/latest/developerguide/using-iam-roles-to-grant-permissions-to-applications-scripts-streaming-instances.html#best-practices-for-using-iam-role-with-streaming-instances).
Crea [https://docs.aws.amazon.com/appstream2/latest/developerguide/s3-iam-policy.html](https://docs.aws.amazon.com/appstream2/latest/developerguide/s3-iam-policy.html) creati per rendere persistenti i dati utente sia nelle cartelle home che nella persistenza delle impostazioni delle applicazioni. Ciò [https://docs.aws.amazon.com/appstream2/latest/developerguide/s3-iam-policy.html#s3-iam-policy-restricted-access](https://docs.aws.amazon.com/appstream2/latest/developerguide/s3-iam-policy.html#s3-iam-policy-restricted-access)
## Endpoint VPC
Un endpoint VPC consente connessioni private tra il tuo VPC e i servizi supportati AWS e i servizi endpoint VPC forniti da. AWS PrivateLink AWS PrivateLink è una tecnologia che consente di accedere in modo privato ai servizi utilizzando indirizzi IP privati. Il traffico tra il VPC e gli altri servizi rimane all’interno della rete Amazon. Se l'accesso pubblico a Internet è richiesto solo per AWS i servizi, gli endpoint VPC eliminano completamente il requisito dei gateway NAT e dei gateway Internet.
Negli ambienti in cui le routine di automazione o gli sviluppatori richiedono di effettuare chiamate API per WorkSpaces le applicazioni, [https://docs.aws.amazon.com/appstream2/latest/developerguide/access-api-cli-through-interface-vpc-endpoint.html](https://docs.aws.amazon.com/appstream2/latest/developerguide/access-api-cli-through-interface-vpc-endpoint.html) le operazioni API delle applicazioni. [https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateStreamingURL.html](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateStreamingURL.html) Il diagramma seguente mostra un esempio di configurazione in cui l'API WorkSpaces delle applicazioni e gli endpoint VPC di streaming vengono utilizzati dalle funzioni Lambda e dalle istanze EC2.
![\[Un diagramma dell'architettura di riferimento per l'endpoint VPC\]](http://docs.aws.amazon.com/it_it/appstream2/latest/developerguide/images/vpc-endpoint.jpeg)
*Endpoint VPC*
L'endpoint VPC di streaming consente di trasmettere sessioni tramite un endpoint VPC. L'endpoint dell'interfaccia di streaming gestisce il traffico di streaming all'interno del VPC. Il traffico in streaming include pixel, USB, input utente, audio, appunti, caricamento e download di file e traffico di stampanti. Per utilizzare l'endpoint VPC, l'impostazione dell'endpoint VPC deve essere abilitata nello stack Applicazioni. WorkSpaces Ciò rappresenta un'alternativa allo streaming di sessioni utente sulla rete Internet pubblica da postazioni con accesso limitato a Internet e che trarrebbero vantaggio dall'accesso tramite un'istanza Direct Connect. Lo streaming delle sessioni utente tramite un endpoint VPC richiede quanto segue:
+ I gruppi di sicurezza associati all'endpoint di interfaccia devono consentire l'accesso in entrata alla porta `443` (TCP) e alle porte `1400–1499` (TCP) dall'intervallo di indirizzi IP da cui gli utenti si connettono.
+ L'elenco di controllo dell'accesso alla rete per le sottoreti deve consentire il traffico in uscita dalle porte di rete temporanee `1024-65535` (TCP) all'intervallo di indirizzi IP da cui gli utenti si connettono.
+ La connettività Internet è necessaria per autenticare gli utenti e fornire le risorse Web necessarie alle applicazioni per funzionare. WorkSpaces
Per ulteriori informazioni sulla limitazione del traffico ai AWS servizi con WorkSpaces Applicazioni, consulta la guida amministrativa per la [https://docs.aws.amazon.com/appstream2/latest/developerguide/creating-streaming-from-interface-vpc-endpoints.html](https://docs.aws.amazon.com/appstream2/latest/developerguide/creating-streaming-from-interface-vpc-endpoints.html).
Quando è richiesto l'accesso pubblico completo a Internet, è consigliabile disattivare Internet Explorer Enhanced Security Configuration (ESC) su Image Builder. Per ulteriori informazioni, consulta la guida all'amministrazione delle WorkSpaces applicazioni per [https://docs.aws.amazon.com/appstream2/latest/developerguide/customize-fleets.html#customize-fleets-disable-ie-esc](https://docs.aws.amazon.com/appstream2/latest/developerguide/customize-fleets.html#customize-fleets-disable-ie-esc).
## Configurazione dell'Instance Metadata Service (IMDS) sulle istanze
Questo argomento descrive l'Instance Metadata Service (IMDS).
*I metadati dell'istanza* sono dati relativi all'istanza Amazon Elastic Compute Cloud (Amazon EC2) che le applicazioni possono utilizzare per configurare o gestire un'istanza in esecuzione. Il servizio di metadati dell'istanza (IMDS) è un componente dell'istanza utilizzato dal codice sull'istanza per accedere in modo sicuro ai metadati dell'istanza. Per ulteriori informazioni, consulta [Metadati e dati dell'utente delle istanze](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-metadata.html) nella *Guida per l'utente di Amazon EC2*.
Il codice può accedere ai metadati dell'istanza da un'istanza in esecuzione utilizzando uno dei due metodi seguenti: Instance Metadata Service Version 1 (IMDSv1) o Instance Metadata Service Version 2 (). IMDSv2 IMDSv2 utilizza richieste orientate alla sessione e mitiga diversi tipi di vulnerabilità che potrebbero essere utilizzate per tentare di accedere all'IMDS. Per informazioni su questi due metodi, consulta [Configurazione del servizio di metadati dell'istanza](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-service.html) nella *Amazon EC2* User Guide.
### Supporto di risorse per IMDS
Le flotte Always-On, On-Demand, a sessione singola e multisessione e tutti gli Image Builder supportano sia IMDSv1 le immagini WorkSpaces delle applicazioni che IMDSv2 durante l'esecuzione delle immagini con la versione agente o l'aggiornamento dell'immagine gestita rilasciato a partire dal 16 gennaio 2024.
Le istanze Elastic Fleets and Builders supportano anche entrambi e. AppBlock IMDSv1 IMDSv2
### Esempio di impostazioni degli attributi IMDS
Di seguito sono riportati due esempi di scelta del metodo IMDS:
#### Esempio di Java v2 SDK
Di seguito l'esempio di richiesta di disabilitazione IMDSv1 utilizzando gli attributi `disableIMDSV1`
```
CreateFleetRequest request = CreateFleetRequest.builder()
.name("TestFleet")
.imageArn("arn:aws:appstream:us-east-1::image/TestImage")
.instanceType("stream.standard.large")
.fleetType(FleetType.ALWAYS_ON)
.computeCapacity(ComputeCapacity.builder()
.desiredInstances(5)
.build())
.description("Test fleet description")
.displayName("Test Fleet Display Name")
.enableDefaultInternetAccess(true)
.maxUserDurationInSeconds(3600)
.disconnectTimeoutInSeconds(900)
.idleDisconnectTimeoutInSeconds(600)
.iamRoleArn("arn:aws:iam::123456789012:role/TestRole")
.streamView(StreamView.APP)
.platform(PlatformType.WINDOWS)
.maxConcurrentSessions(10)
.maxSessionsPerInstance(2)
.tags(tags)
.disableIMDSV1(true)
.build();
```
Imposta **disable IMDSV1** su true per disabilitare IMDSv1 e applicare IMDSv2.
Imposta **disable IMDSV1** su false per abilitare entrambi IMDSv1 e IMDSv2.
#### Esempio di CLI
Di seguito l'esempio di richiesta di disabilitazione IMDSv1 utilizzando `--disable-imdsv1` gli attributi
```
aws appstream create-fleet --name test-fleet --image-arn "arn:aws:appstream:us-east-1::image/test-image" --disable-imdsv1 --instance-type stream.standard.small --compute-capacity DesiredInstances=2 --max-user-duration-in-seconds 57600 --disconnect-timeout-in-seconds 57600 --region us-east-1
```
Imposta `--disable-imdsv1` su true per disabilitare IMDSv1 e applicare IMDSv2.
Imposta `--no-disable-imdsv1` su false per abilitare entrambi IMDSv1 e IMDSv2.