Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Utilizzo dei servizi AWS
<a name="using-services"></a>

## AWS Identity and Access Management
<a name="aws-identity-and-access-management"></a>

 L'utilizzo di un ruolo IAM per accedere ai AWS servizi e la specificità della policy IAM ad esso associata è una best practice che consente l'accesso solo agli utenti WorkSpaces delle sessioni delle Applicazioni senza dover gestire credenziali aggiuntive. Segui le [https://docs.aws.amazon.com/appstream2/latest/developerguide/using-iam-roles-to-grant-permissions-to-applications-scripts-streaming-instances.html#best-practices-for-using-iam-role-with-streaming-instances](https://docs.aws.amazon.com/appstream2/latest/developerguide/using-iam-roles-to-grant-permissions-to-applications-scripts-streaming-instances.html#best-practices-for-using-iam-role-with-streaming-instances). 

 Crea [https://docs.aws.amazon.com/appstream2/latest/developerguide/s3-iam-policy.html](https://docs.aws.amazon.com/appstream2/latest/developerguide/s3-iam-policy.html) creati per rendere persistenti i dati utente sia nelle cartelle home che nella persistenza delle impostazioni delle applicazioni. Ciò [https://docs.aws.amazon.com/appstream2/latest/developerguide/s3-iam-policy.html#s3-iam-policy-restricted-access](https://docs.aws.amazon.com/appstream2/latest/developerguide/s3-iam-policy.html#s3-iam-policy-restricted-access) 

## Endpoint VPC
<a name="vpc-endpoints-1"></a>

 Un endpoint VPC consente connessioni private tra il tuo VPC e i servizi supportati AWS e i servizi endpoint VPC forniti da. AWS PrivateLink AWS PrivateLink è una tecnologia che consente di accedere in modo privato ai servizi utilizzando indirizzi IP privati. Il traffico tra il VPC e gli altri servizi rimane all’interno della rete Amazon. Se l'accesso pubblico a Internet è richiesto solo per AWS i servizi, gli endpoint VPC eliminano completamente il requisito dei gateway NAT e dei gateway Internet. 

 Negli ambienti in cui le routine di automazione o gli sviluppatori richiedono di effettuare chiamate API per WorkSpaces le applicazioni, [https://docs.aws.amazon.com/appstream2/latest/developerguide/access-api-cli-through-interface-vpc-endpoint.html](https://docs.aws.amazon.com/appstream2/latest/developerguide/access-api-cli-through-interface-vpc-endpoint.html) le operazioni API delle applicazioni. [https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateStreamingURL.html](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateStreamingURL.html) Il diagramma seguente mostra un esempio di configurazione in cui l'API WorkSpaces delle applicazioni e gli endpoint VPC di streaming vengono utilizzati dalle funzioni Lambda e dalle istanze EC2. 

![\[Un diagramma dell'architettura di riferimento per l'endpoint VPC\]](http://docs.aws.amazon.com/it_it/appstream2/latest/developerguide/images/vpc-endpoint.jpeg)


 *Endpoint VPC* 

 L'endpoint VPC di streaming consente di trasmettere sessioni tramite un endpoint VPC. L'endpoint dell'interfaccia di streaming gestisce il traffico di streaming all'interno del VPC. Il traffico in streaming include pixel, USB, input utente, audio, appunti, caricamento e download di file e traffico di stampanti. Per utilizzare l'endpoint VPC, l'impostazione dell'endpoint VPC deve essere abilitata nello stack Applicazioni. WorkSpaces Ciò rappresenta un'alternativa allo streaming di sessioni utente sulla rete Internet pubblica da postazioni con accesso limitato a Internet e che trarrebbero vantaggio dall'accesso tramite un'istanza Direct Connect. Lo streaming delle sessioni utente tramite un endpoint VPC richiede quanto segue: 
+  I gruppi di sicurezza associati all'endpoint di interfaccia devono consentire l'accesso in entrata alla porta `443` (TCP) e alle porte `1400–1499` (TCP) dall'intervallo di indirizzi IP da cui gli utenti si connettono. 
+  L'elenco di controllo dell'accesso alla rete per le sottoreti deve consentire il traffico in uscita dalle porte di rete temporanee `1024-65535` (TCP) all'intervallo di indirizzi IP da cui gli utenti si connettono. 
+  La connettività Internet è necessaria per autenticare gli utenti e fornire le risorse Web necessarie alle applicazioni per funzionare. WorkSpaces 

 Per ulteriori informazioni sulla limitazione del traffico ai AWS servizi con WorkSpaces Applicazioni, consulta la guida amministrativa per la [https://docs.aws.amazon.com/appstream2/latest/developerguide/creating-streaming-from-interface-vpc-endpoints.html](https://docs.aws.amazon.com/appstream2/latest/developerguide/creating-streaming-from-interface-vpc-endpoints.html). 

 Quando è richiesto l'accesso pubblico completo a Internet, è consigliabile disattivare Internet Explorer Enhanced Security Configuration (ESC) su Image Builder. Per ulteriori informazioni, consulta la guida all'amministrazione delle WorkSpaces applicazioni per [https://docs.aws.amazon.com/appstream2/latest/developerguide/customize-fleets.html#customize-fleets-disable-ie-esc](https://docs.aws.amazon.com/appstream2/latest/developerguide/customize-fleets.html#customize-fleets-disable-ie-esc). 

## Configurazione dell'Instance Metadata Service (IMDS) sulle istanze
<a name="configuring-imds"></a>

Questo argomento descrive l'Instance Metadata Service (IMDS).

*I metadati dell'istanza* sono dati relativi all'istanza Amazon Elastic Compute Cloud (Amazon EC2) che le applicazioni possono utilizzare per configurare o gestire un'istanza in esecuzione. Il servizio di metadati dell'istanza (IMDS) è un componente dell'istanza utilizzato dal codice sull'istanza per accedere in modo sicuro ai metadati dell'istanza. Per ulteriori informazioni, consulta [Metadati e dati dell'utente delle istanze](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-metadata.html) nella *Guida per l'utente di Amazon EC2*.

Il codice può accedere ai metadati dell'istanza da un'istanza in esecuzione utilizzando uno dei due metodi seguenti: Instance Metadata Service Version 1 (IMDSv1) o Instance Metadata Service Version 2 (). IMDSv2 IMDSv2 utilizza richieste orientate alla sessione e mitiga diversi tipi di vulnerabilità che potrebbero essere utilizzate per tentare di accedere all'IMDS. Per informazioni su questi due metodi, consulta [Configurazione del servizio di metadati dell'istanza](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-service.html) nella *Amazon EC2* User Guide.

### Supporto di risorse per IMDS
<a name="imds-resource-support"></a>

Le flotte Always-On, On-Demand, a sessione singola e multisessione e tutti gli Image Builder supportano sia IMDSv1 le immagini WorkSpaces delle applicazioni che IMDSv2 durante l'esecuzione delle immagini con la versione agente o l'aggiornamento dell'immagine gestita rilasciato a partire dal 16 gennaio 2024.

Le istanze Elastic Fleets and Builders supportano anche entrambi e. AppBlock IMDSv1 IMDSv2

### Esempio di impostazioni degli attributi IMDS
<a name="imds-examples"></a>

Di seguito sono riportati due esempi di scelta del metodo IMDS:

#### Esempio di Java v2 SDK
<a name="java-sdk-example"></a>

Di seguito l'esempio di richiesta di disabilitazione IMDSv1 utilizzando gli attributi `disableIMDSV1`

```
CreateFleetRequest request = CreateFleetRequest.builder()
 .name("TestFleet")
 .imageArn("arn:aws:appstream:us-east-1::image/TestImage")
 .instanceType("stream.standard.large")
 .fleetType(FleetType.ALWAYS_ON)
 .computeCapacity(ComputeCapacity.builder()
 .desiredInstances(5)
 .build())
 .description("Test fleet description")
 .displayName("Test Fleet Display Name")
 .enableDefaultInternetAccess(true)
 .maxUserDurationInSeconds(3600)
 .disconnectTimeoutInSeconds(900)
 .idleDisconnectTimeoutInSeconds(600)
 .iamRoleArn("arn:aws:iam::123456789012:role/TestRole")
 .streamView(StreamView.APP)
 .platform(PlatformType.WINDOWS)
 .maxConcurrentSessions(10)
 .maxSessionsPerInstance(2)
 .tags(tags)
 .disableIMDSV1(true)
 .build();
```

Imposta **disable IMDSV1** su true per disabilitare IMDSv1 e applicare IMDSv2.

Imposta **disable IMDSV1** su false per abilitare entrambi IMDSv1 e IMDSv2.

#### Esempio di CLI
<a name="cli-example"></a>

Di seguito l'esempio di richiesta di disabilitazione IMDSv1 utilizzando `--disable-imdsv1` gli attributi

```
aws appstream create-fleet --name test-fleet --image-arn "arn:aws:appstream:us-east-1::image/test-image" --disable-imdsv1 --instance-type stream.standard.small --compute-capacity DesiredInstances=2 --max-user-duration-in-seconds 57600 --disconnect-timeout-in-seconds 57600 --region us-east-1
```

Imposta `--disable-imdsv1` su true per disabilitare IMDSv1 e applicare IMDSv2.

Imposta `--no-disable-imdsv1` su false per abilitare entrambi IMDSv1 e IMDSv2.