翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon AppStream 2.0 でのデータ保護
責任 AWS 共有モデル
データ保護の目的で、認証情報を保護し AWS アカウント 、 AWS Identity and Access Management (IAM) を使用して個々のユーザーを設定することをお勧めします。この方法により、それぞれのジョブを遂行するために必要な許可のみを各ユーザーに付与できます。また、次の方法でデータを保護することをお勧めします。
-
各アカウントで多要素認証 (MFA) を使用します。
-
SSL/TLS を使用して AWS リソースと通信します。TLS 1.2 をお勧めします。
-
を使用して API とユーザーアクティビティのログ記録を設定します AWS CloudTrail。
-
AWS 暗号化ソリューションと、 サービス内のすべての AWS デフォルトのセキュリティコントロールを使用します。
-
Amazon Macie などのアドバンストマネージドセキュリティサービスを使用します。これは、Amazon S3 に保存されている個人データの検出と保護を支援します。
-
コマンドラインインターフェイスまたは API AWS を介して にアクセスするときに FIPS 140-2 検証済みの暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。利用可能な FIPS エンドポイントの詳細については、連邦情報処理規格 (FIPS) 140-2
を参照してください。
顧客の E メールアドレスなどの機密情報やセンシティブ情報は、タグや [Name] (名前) フィールドなどの自由形式のフィールドに配置しないことを強くお勧めします。これは、コンソール、API、または SDK を使用して AppStream 2.0 AWS CLIまたは他の AWS のサービスを使用する場合も同様です。 AWS SDKs タグまたは名前に使用する自由記入欄に入力したデータは、課金や診断ログに使用される場合があります。外部サーバーへの URL を提供する場合は、そのサーバーへのリクエストを検証するための認証情報を URL に含めないことを強くお勧めします。
保管時の暗号化
AppStream 2.0 フリートインスタンスは本質的に一時的なものです。ユーザーのストリーミングセッションが終了すると、基礎となるインスタンスとそれに関連付けられた Amazon Elastic Block Store (Amazon EBS) ボリュームが終了します。さらに、 AppStream 2.0 は未使用のインスタンスを定期的にリサイクルして鮮度を高めます。
アプリケーション設定の永続化を有効にすると、ホームフォルダ、セッションスクリプト、または使用状況がユーザーに報告され、ユーザーによって生成され、Amazon Simple Storage Service バケットに保存されるデータは保管時に暗号化されます。 は、安全で可用性の高いハードウェアとソフトウェアを組み合わせて、クラウド向けにスケーリングされたキー管理システムを提供するサービス AWS Key Management Service です。Amazon S3 は、AWS マネージド CMK を使用して Amazon S3 オブジェクトデータを暗号化します。
転送時の暗号化
次のテーブルに、転送中のデータの暗号化方法に関する情報を示します。該当する場合は、 AppStream 2.0 の他のデータ保護方法も一覧表示されます。
| [データ] | ネットワークパス | 保護方法 |
|---|---|---|
|
ウェブ資産 このトラフィックには、イメージや JavaScript ファイルなどのアセットが含まれます。 |
AppStream 2.0 ユーザーから AppStream 2.0 の間 |
TLS 1.2 を使用して暗号化 |
| ピクセルおよび関連するストリーミングトラフィック | AppStream 2.0 ユーザーから AppStream 2.0 の間 |
256 ビット高度暗号化規格 (AES-256) を使用して暗号化 TLS 1.2 を使用して転送 |
| API トラフィック | AppStream 2.0 ユーザーから AppStream 2.0 の間 |
TLS 1.2 を使用して暗号化 接続を作成するリクエストは、SigV4 を使用して署名されます。 |
ユーザーが生成したアプリケーション設定とホームフォルダデータ アプリケーション設定の永続性とホームフォルダが有効になっている場合に適用されます。 |
AppStream 2.0 ユーザーと Amazon S3 の間 | Amazon S3 SSL エンドポイントを使用して暗号化 |
| AppStream 2.0 マネージドトラフィック |
AppStream 2.0 ストリーミングインスタンスと以下の間:
|
TLS 1.2 を使用して暗号化 接続を作成するリクエストは、該当する場合は SigV4 を使用して署名されます。 |
管理者のコントロール
AppStream 2.0 には、ユーザーがローカルコンピュータと AppStream 2.0 フリートインスタンス間でデータを転送する方法を制限するために使用できる管理コントロールが用意されています。 AppStream 2.0 スタック を作成または更新するときに、以下を制限または無効にできます。
クリップボード/コピーと貼り付けアクション
ファイルのアップロードとダウンロード (フォルダとドライブのリダイレクトを含む)
印刷
AppStream 2.0 イメージを作成するときに、Windows 用 AppStream 2.0 クライアントから AppStream 2.0 フリートインスタンスにリダイレクトできる USB デバイスを指定できます。指定した USB デバイスは、ユーザーの AppStream 2.0 ストリーミングセッション中に使用できます。詳細については、「ストリーミングアプリケーションで使用するUSBデバイスを認定する」を参照してください。
アプリケーションアクセス
デフォルトでは、 AppStream 2.0 により、イメージで指定したアプリケーションは、Image Builder とフリートインスタンスで他のアプリケーションや実行可能ファイルを起動できます。これにより、他のアプリケーションに依存するアプリケーション (たとえば、ブラウザを起動して製品のウェブサイトに移動するアプリケーション) が想定どおりに機能します。管理コントロール、セキュリティグループ、およびその他のセキュリティソフトウェアを設定して、リソースにアクセスし、ローカルコンピュータとフリートインスタンス間でデータを転送するために必要な最小限のアクセス許可をユーザーに付与します。
Microsoft などのアプリケーション制御ソフトウェア、および AppLocker
注記
AppStream 2.0 エージェントソフトウェアは、Windows コマンドプロンプトと Windows Powershell を使用してストリーミングインスタンスをプロビジョニングします。ユーザーが Windows コマンドプロンプトまたは Windows Powershell を起動できないように選択する場合は、Windows NT AUTHORITY\SYSTEM または管理者グループのユーザーにはポリシーを適用しないでください。
| ルールタイプ | アクション | Windows ユーザーまたはグループ | 名前/パス | 条件 | 説明 |
|---|---|---|---|---|---|
| 実行可能ファイル | 許可 | NT AUTHORITY\System | * | パス | AppStream 2.0 エージェントソフトウェアに必要です |
| 実行可能ファイル | 許可 | BUILTIN\Administrators | * | パス | AppStream 2.0 エージェントソフトウェアに必要です |
| 実行可能ファイル | 許可 | 全員 | %PROGRAMFILES%\nodejs\* | パス | AppStream 2.0 エージェントソフトウェアに必要です |
| 実行可能ファイル | 許可 | 全員 | %PROGRAMFILES%\NICE\* | パス | AppStream 2.0 エージェントソフトウェアに必要です |
| 実行可能ファイル | 許可 | 全員 | %PROGRAMFILES%\Amazon\* | パス | AppStream 2.0 エージェントソフトウェアに必要です |
| 実行可能ファイル | 許可 | 全員 | %PROGRAMFILES%\<default-browser>\* |
パス | Google Drive や Microsoft OneDrive for Business などの永続的ストレージソリューションを使用する場合、 AppStream 2.0 エージェントソフトウェアに必要です。この例外は、 AppStream 2.0 ホームフォルダを使用する場合には必要ありません。 |
