翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon AppStream 2.0 のインフラストラクチャセキュリティ
<a name="infrastructure-security"></a>

マネージドサービスである Amazon AppStream 2.0 は、AWS グローバルネットワークセキュリティで保護されています。AWS セキュリティサービスと AWS がインフラストラクチャを保護する方法については「[AWS クラウドセキュリティ](https://aws.amazon.com/security/)」を参照してください。インフラストラクチャセキュリティのベストプラクティスを使用して AWS 環境を設計するには「*セキュリティの柱 - AWS 適切なアーキテクチャを備えたフレームワーク*」の「[インフラストラクチャの保護](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html)」を参照してください。

ユーザーは、AWS が公開した API 呼び出しを使用して、ネットワーク経由で AppStream 2.0 にアクセスします。クライアントは以下をサポートする必要があります。
+ Transport Layer Security (TLS)。TLS 1.2 が必須で、TLS 1.3 をお勧めします。
+ DHE (楕円ディフィー・ヘルマン鍵共有) や ECDHE (楕円曲線ディフィー・ヘルマン鍵共有) などの完全前方秘匿性 (PFS) による暗号スイート。これらのモードは Java 7 以降など、ほとんどの最新システムでサポートされています。

次のトピックでは、AppStream 2.0 インフラストラクチャセキュリティに関する追加情報を提供します。

**Topics**
+ [ネットワークの隔離](network-isolation.md)
+ [物理ホストでの分離](physical-isolation.md)
+ [ネットワークトラフィックの制御](control-network-traffic.md)
+ [WorkSpaces アプリケーションインターフェイス VPC エンドポイント](interface-vpc-endpoints.md)
+ [FIPS エンドポイントを使用した転送中のデータの保護](protecting-data-in-transit-FIPS-endpoints.md)

# ネットワークの隔離
<a name="network-isolation"></a>

Virtual Private Cloud (VPC) は、Amazon Web Services クラウド内の論理的に隔離された領域にある仮想ネットワークです。ワークロードまたは組織エンティティ単位でインフラストラクチャを隔離するには、個別の VPC を使用します。

サブネットはある範囲の IP アドレスが示す VPC 内の領域です。インスタンスを起動する場合にはVPC 内のあるサブネットにおいて起動することになります。サブネットを使用すると、単一の VPC 内で多階層ウェブアプリケーションの各階層 (ウェブサーバー、アプリケーションサーバーおよびデータベースサーバーなど) を隔離できます。インターネットからの直接アクセスを認めるべきでないインスタンスには、プライベートサブネットを使用します。

パブリックインターネットを経由せずに、VPC 内の AppStream 2.0 ストリーミングインスタンスからストリーミングできます。これを行うには、インターフェイス VPC エンドポイント（インターフェイスエンドポイント）を使用します。詳細については、[チュートリアル: インターフェイス VPC エンドポイントからの作成とストリーミング](creating-streaming-from-interface-vpc-endpoints.md) を参照してください。

また、インターフェイスエンドポイントを使用して、パブリックインターネット経由でトラフィックを送信せずに VPC から AppStream 2.0 API オペレーションを呼び出すことができます。詳細については、[インターフェイス VPC エンドポイントを介して WorkSpaces アプリケーション API オペレーションと CLI コマンドにアクセスする](access-api-cli-through-interface-vpc-endpoint.md) を参照してください。

# 物理ホストでの分離
<a name="physical-isolation"></a>

同じ物理ホストで実行される異なるストリーミングインスタンスは、個別の物理ホストで実行されるかのように隔離されます。ハイパーバイザーが CPU およびメモリを隔離し、各インスタンスには、生ディスクデバイスへのアクセスに代わる仮想ディスクへのアクセスが提供されます。

ストリーミングインスタンスを停止または終了すると、そのストリーミングインスタンスに割り当てられていたメモリをハイパーバイザーがスクラブ（ゼロに設定するということです）し、そのメモリが新たなインスタンスに割り当てられ、すべてのストレージブロックがリセットされます。これにより、データが別のインスタンスに公開されることがなくなります。

# ネットワークトラフィックの制御
<a name="control-network-traffic"></a>

AppStream 2.0 ストリーミングインスタンスへのネットワークトラフィックを制御するには、次のオプションを検討してください。
+ Amazon AppStream ストリーミングインスタンスを起動する場合には、VPC 内のあるサブネットにおいて起動することになります。インターネットからアクセスできないようにするには、プライベートサブネットにストリーミングインスタンスをデプロイします。
+ プライベートサブネットのストリーミングインスタンスへのインターネットアクセスを提供するには、NAT ゲートウェイを使用します。詳細については、[プライベートサブネットの VPC および NAT ゲートウェイを設定する](managing-network-internet-NAT-gateway.md) を参照してください。
+ VPC に属するセキュリティグループにより、AppStream 2.0 ストリーミングインスタンスと、ライセンスサーバー、ファイルサーバー、データベースサーバーなどの VPC リソースの間でネットワークトラフィックを制御できます。また、セキュリティグループは、ストリーミングインスタンスと AppStream 2.0 管理サービス間のトラフィックを分離します。

  セキュリティグループを使用して、ストリーミングインスタンスへのアクセスを制限します。この方法を使うと、たとえば、社内ネットワークのアドレス範囲に属するアドレスからのトラフィックのみ認めるといったことができます。詳細については、[Amazon WorkSpaces アプリケーションのセキュリティグループ](managing-network-security-groups.md) を参照してください。
+ パブリックインターネットを経由せずに、VPC 内の AppStream 2.0 ストリーミングインスタンスからストリーミングできます。これを行うには、インターフェイス VPC エンドポイント（インターフェイスエンドポイント）を使用します。詳細については、[チュートリアル: インターフェイス VPC エンドポイントからの作成とストリーミング](creating-streaming-from-interface-vpc-endpoints.md) を参照してください。

  また、インターフェイスエンドポイントを使用して、パブリックインターネット経由でトラフィックを送信せずに VPC から AppStream 2.0 API オペレーションを呼び出すことができます。詳細については、[インターフェイス VPC エンドポイントを介して WorkSpaces アプリケーション API オペレーションと CLI コマンドにアクセスする](access-api-cli-through-interface-vpc-endpoint.md) を参照してください。
+ IAM ロールとポリシーを使用して、AppStream 2.0、Application Auto Scaling、および Amazon S3 バケットへの管理者アクセスを管理します。詳細については、次のトピックを参照してください。
  + [AWS マネージドポリシーとリンクされたロールを使用して WorkSpaces アプリケーションリソースへの管理者アクセスを管理する](controlling-administrator-access-with-policies-roles.md)
  + [IAM ポリシーを使用して Application Auto Scaling への管理者アクセスを管理する](autoscaling-iam-policy.md)
  + [ホームフォルダおよびアプリケーション設定の永続化用の Amazon S3 バケットへの管理者アクセスの制限](s3-iam-policy-restricted-access.md)
+ SAML 2.0 を使用して、認証を AppStream 2.0 にフェデレートできます。詳細については、[Amazon WorkSpaces Applications Service Quotas](limits.md) を参照してください。
**注記**  
小規模な AppStream 2.0 デプロイの場合は、AppStream 2.0 ユーザープールを使用できます。デフォルトでは、ユーザープールは最大 50 人のユーザーをサポートします。AppStream 2.0 クォータ (制限とも呼ばれる) の詳細については、[Amazon WorkSpaces Applications Service Quotas](limits.md) を参照してください。100 人以上の AppStream 2.0 ユーザーをサポートする必要があるデプロイメントの場合は、SAML 2.0 を使用することをお勧めします。

# WorkSpaces アプリケーションインターフェイス VPC エンドポイント
<a name="interface-vpc-endpoints"></a>

Virtual Private Cloud (VPC) は、Amazon Web Services クラウド内の論理的に隔離された領域にある仮想ネットワークです。Amazon Virtual Private Cloud を使用してAWSリソースをホストする場合、VPC と WorkSpaces アプリケーションの間にプライベート接続を確立できます。この接続を使用して、WorkSpaces アプリケーションがパブリックインターネットを経由せずに VPC 上のリソースと通信できるようにします。

インターフェイスエンドポイントは、プライベート IP アドレスを使用して指定した VPC 内でトラフィックをストリーミングできるテクノロジーである AWSPrivateLink を利用しています。Direct Connectまたは AWS Virtual Private Networkトンネルで VPC を使用する場合、ストリーミングトラフィックをネットワーク内に保持できます。

以下のトピックでは、WorkSpaces アプリケーションインターフェイスエンドポイントについて説明します。

**Topics**
+ [チュートリアル: インターフェイス VPC エンドポイントからの作成とストリーミング](creating-streaming-from-interface-vpc-endpoints.md)
+ [インターフェイス VPC エンドポイントを介して WorkSpaces アプリケーション API オペレーションと CLI コマンドにアクセスする](access-api-cli-through-interface-vpc-endpoint.md)

# チュートリアル: インターフェイス VPC エンドポイントからの作成とストリーミング
<a name="creating-streaming-from-interface-vpc-endpoints"></a>

Amazon Web Services アカウントのインターフェイス VPC エンドポイントを使用して、Amazon VPC と WorkSpaces アプリケーション間のすべてのネットワークトラフィックを Amazon ネットワークに制限できます。このエンドポイントを作成したら、それを使用するように WorkSpaces Applications スタックまたは Image Builder を設定します。

**前提条件**

WorkSpaces アプリケーションのインターフェイス VPC エンドポイントを設定する前に、次の前提条件に注意してください。
+ インターネット接続は、ユーザーを認証し、WorkSpaces アプリケーションが機能するために必要なウェブアセットを配信するために必要です。ストリーミングインターフェイスエンドポイントは、VPC 内のストリーミングトラフィックを維持します。ストリーミングトラフィックには、ピクセル、USB、ユーザー入力、オーディオ、クリップボード、ファイルのアップロードとダウンロード、プリンターのトラフィックが含まれます。このトラフィックを許可するには、「[許可されたドメイン](allowed-domains.md)」に示されたドメインを許可する必要があります。VPC エンドポイントを作成したら、WorkSpaces Applications ユーザー認証ドメインを許可する必要があります。ただし、ストリーミングゲートウェイでは、アクセスを <vpc-endpoint-id>.streaming.appstream.<aws-region>.vpce.amazonaws.com のみに制限できます。\$1.amazonappstream.com への許可リスト登録は必要ありません。VPC エンドポイントの完全修飾ドメイン名は、その依存関係を置き換えます。
+ ユーザーのデバイスが接続されているネットワークは、インターフェイスエンドポイントにトラフィックをルーティングできる必要があります。
+ インターフェイスエンドポイントに関連付けられているセキュリティグループは、ユーザーが接続する IP アドレス範囲からポート 443(TCP) とポート 1400～1499 (TCP) へのインバウンドアクセスを許可する必要があります。
+ サブネットのネットワークアクセスコントロールリストでは、一時ネットワークポート 1024～65535 (TCP) から、ユーザーが接続する IP アドレス範囲へのアウトバウンドトラフィックを許可する必要があります。
+ API アクションを実行するためのアクセス許可AWS アカウントを提供する IAM `ec2:DescribeVpcEndpoints` アクセス許可ポリシーが にある必要があります。デフォルトでは、このアクセス許可は AmazonAppStreamServiceAccess ロールにアタッチされている IAM ポリシーで定義されます。必要なアクセス許可がある場合、 AWSリージョンで WorkSpaces アプリケーションサービスの使用を開始すると、このサービスロールは WorkSpaces アプリケーションによって自動的に作成され、必要な IAM ポリシーがアタッチされます。詳細については、「[Amazon WorkSpaces アプリケーションの Identity and Access Management](controlling-access.md)」を参照してください。

**インターフェイスエンドポイントを作成するには**

1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。

1. ナビゲーションペインで、[**エンドポイント**]、[**エンドポイントを作成**] の順に選択します。

1. **[Create Endpoint]** (エンドポイントの作成) を選択します。

1. **サービスカテゴリ**で、**AWSサービス**が選択されていることを確認します。

1. **[Service Name]** (サービス名)には **com.amazonaws.***<AWS リージョン>***.appstream.streaming** を選択します。

1. 以下の情報を指定します。終了したら、[**Create Endpoint**] を選択します。
   + [**VPC**] で、インターフェイスエンドポイントを作成する VPC を選択します。WorkSpaces Applications リソースを使用する VPC とは異なる VPC を選択できます。
   + [**サブネット**] で、エンドポイントネットワークインターフェイスを作成する先のサブネット (アベイラビリティーゾーン) を選択します。少なくとも 2 つのアベイラビリティーゾーンで サブネットを選択することをお勧めします。
   + **IP アドレスタイプ**で、IPV6 または IPV4 を選択します。
   + [**Enable Private DNS Name**] チェックボックスが選択されていることを確認します。
**注記**  
ユーザーがネットワークプロキシを使用してストリーミングインスタンスにアクセスする場合は、プライベートエンドポイントに関連付けられているドメインと DNS 名のプロキシキャッシュを無効にします。VPC エンドポイントの DNS 名は、プロキシを介して許可する必要があります。
   + [**Security group**] で、エンドポイントネットワークインターフェイスに関連付けるセキュリティグループを選択します。
**注記**  
セキュリティグループは、ユーザーが接続する IP アドレス範囲からポートへのインバウンドアクセスを提供する必要があります。

インターフェイスエンドポイントの作成中、コンソールのエンドポイントのステータスは、[**Pending**] と表示されます。エンドポイントが作成されると、ステータスは [**Available**] に変わります。

 ストリーミングセッション用に作成したインターフェイスエンドポイントを使用するようにスタックを更新するには、次のステップを実行します。

**新しいインターフェイスエンドポイントを使用するようスタックを更新するには**

1. [https://console.aws.amazon.com/appstream2/home](https://console.aws.amazon.com/appstream2/home) で WorkSpaces アプリケーションコンソールを開きます。

   使用するインターフェイスエンドポイントと同じAWSリージョンでコンソールを開いてください。

1. ナビゲーションペインで [**Stacks**] を選択し、希望するスタックを選択します。

1. [**VPC Endpoints (VPC エンドポイント)**] タブを選択し、[**Edit (編集)**] を選択します。

1. [**Edit VPC Endpoint (VPC エンドポイントの編集)**] ダイアログボックスの [**Streaming Endpoint (ストリーミングエンドポイント)**] で、ストリーミングトラフィックを介するエンドポイントを選択します。

1. [**更新**] を選択します。

新しいストリーミングセッションのトラフィックは、このエンドポイントを介してルーティングされます。ただし、現在のストリーミングセッションのトラフィックは、引き続き以前に指定したエンドポイントを介してルーティングされます。

**注記**  
インターフェイスエンドポイントが指定されている場合、ユーザーはインターネットエンドポイントを使用してストリーミングできません。

# インターフェイス VPC エンドポイントを介して WorkSpaces アプリケーション API オペレーションと CLI コマンドにアクセスする
<a name="access-api-cli-through-interface-vpc-endpoint"></a>

Amazon Virtual Private Cloud を使用してAWSリソースをホストする場合は、インターネット経由で接続する代わりに、仮想プライベートクラウド (VPC) の[インターフェイス VPC エンドポイント](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) (インターフェイスエンドポイント) を介して WorkSpaces Applications API オペレーションまたはコマンドラインインターフェイス (CLI) コマンドに直接接続できます。インターフェイスエンドポイントは、プライベート IP アドレスを使用して指定した VPC 内でトラフィックをストリーミングできるテクノロジーである AWSPrivateLink を利用しています。インターフェイスエンドポイントを使用する場合、VPC と WorkSpaces アプリケーション間の通信はAWS、ネットワーク内で完全かつ安全に行われます。

**注記**  
このトピックでは、インターフェイスエンドポイントを介して WorkSpaces アプリケーション API オペレーションと CLI コマンドにアクセスする方法について説明します。WorkSpaces アプリケーションインターフェイスエンドポイントを作成してストリーミングする方法については、「」を参照してください[チュートリアル: インターフェイス VPC エンドポイントからの作成とストリーミング](creating-streaming-from-interface-vpc-endpoints.md)。

**前提条件**

インターフェイスエンドポイントを使用するには、次の前提条件を満たす必要があります。
+ インターフェイスエンドポイントに関連付けられているセキュリティグループは、ユーザーが接続する IP アドレス範囲からポート 443(TCP) のインバウンドアクセスを許可する必要があります。
+ サブネットのネットワークアクセスコントロールリストでは、一時ネットワークポート 1024～65535 (TCP) から、ユーザーが接続する IP アドレス範囲へのアウトバウンドトラフィックを許可する必要があります。

**Topics**
+ [WorkSpaces アプリケーション API オペレーションと CLI コマンドにアクセスするためのインターフェイスエンドポイントを作成する](access-api-cli-through-interface-vpc-endpoint-create-interface-endpoint.md)
+ [インターフェイスエンドポイントを使用して WorkSpaces アプリケーション API オペレーションと CLI コマンドにアクセスする](how-to-access-api-cli-through-interface-vpc-endpoint.md)

# WorkSpaces アプリケーション API オペレーションと CLI コマンドにアクセスするためのインターフェイスエンドポイントを作成する
<a name="access-api-cli-through-interface-vpc-endpoint-create-interface-endpoint"></a>

インターフェイスエンドポイントを作成するには、次のステップを実行します。

1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。

1. ナビゲーションペインで、[**エンドポイント**]、[**エンドポイントを作成**] の順に選択します。

1. **[Create Endpoint]** (エンドポイントの作成) を選択します。

1. **サービスカテゴリ**で、**AWSサービス**が選択されていることを確認します。

1. **[Service Name]** (サービス名)には **com.amazonaws.***<AWS リージョン>***.appstream.api** を選択します。

1. 以下の情報を指定します。終了したら、[**Create Endpoint**] を選択します。
   + [**VPC**] で、インターフェイスエンドポイントを作成する VPC を選択します。
   + **[サブネット]** は、エンドポイントネットワークインターフェイスを作成する先の、サブネット (アベイラビリティーゾーン) を選択します。少なくとも 2 つのアベイラビリティーゾーンで サブネットを選択することをお勧めします。
   + オプションで、[**Enable Private DNS Name**] チェックボックスを選択できます。
**注記**  
このオプションを選択する場合は、必要に応じて、プライベート DNS をサポートするように VPC および DNS を必ず設定してください。詳細については、*Amazon VPC ユーザーガイド*の [Private DNS](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-private-dns) を参照してください。
   + **[Security group]** (セキュリティグループ) で、エンドポイントネットワークインターフェイスに関連付けるセキュリティグループを選択します。
**注記**  
セキュリティグループは、ユーザーが接続する IP アドレス範囲からポートへのインバウンドアクセスを提供する必要があります。

インターフェイスエンドポイントの作成中、コンソールのエンドポイントのステータスは、[**Pending**] と表示されます。エンドポイントが作成されると、ステータスは [**Available**] に変わります。

# インターフェイスエンドポイントを使用して WorkSpaces アプリケーション API オペレーションと CLI コマンドにアクセスする
<a name="how-to-access-api-cli-through-interface-vpc-endpoint"></a>

作成したインターフェイス VPC エンドポイントのステータスが **Available** に変更されると、エンドポイントを使用して WorkSpaces Applications API オペレーションと CLI コマンドにアクセスできます。これを実行するには、これらのオペレーションおよびコマンドを使用するときに、インターフェイスエンドポイントの DNS 名がある `endpoint-url` パラメータを指定します。DNS 名はパブリックに解決可能ですが、VPC 内のトラフィックのみを正常にルーティングします。

次の例は、**describe-fleets** CLI コマンドを使用するときにインターフェイスエンドポイントの DNS 名を指定する方法を示しています。

```
aws appstream describe-fleets --endpoint-url <vpc-endpoint-id>.api.appstream.<aws-region>.vpce.amazonaws.com
```

次の例は、WorkSpaces Applications Boto3 Python クライアントをインスタンス化するときにインターフェイスエンドポイントの DNS 名を指定する方法を示しています。

```
appstream2client = boto3.client('appstream',region_name='<aws-region>',endpoint_url='<vpc-endpoint-id>.api.appstream.<aws-region>.vpce.amazonaws.com'
```

`appstream2client` オブジェクトを使用する後続のコマンドでは、指定したインターフェイスエンドポイントが自動的に使用されます。

インターフェイスエンドポイントのプライベート DNS ホスト名を有効にした場合は、エンドポイント URL を指定する必要はありません。API と CLI がデフォルトで使用する WorkSpaces アプリケーション API DNS ホスト名は、VPC 内で解決されます。プライベート DNS ホスト名の詳細については、*Amazon VPC ユーザーガイド*の [Private DNS](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-private-dns) を参照してください。

# FIPS エンドポイントを使用した転送中のデータの保護
<a name="protecting-data-in-transit-FIPS-endpoints"></a>

AppStream 2.0 サービスと通信する際には (管理者として AppStream 2.0 コンソール、AWS Command Line Interface (AWS CLI)、または AWS SDK を使用する場合でも、ユーザーとして Image Builder またはフリートインスタンスからストリーミングする場合でも)、転送中のすべてのデータに対してデフォルトで TLS 1.2 による暗号化が行われます。

コマンドラインインターフェイスまたは API を使用して AWS にアクセスするときに FIPS 140-2 検証済みの暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。AppStream 2.0 は、AppStream 2.0 が利用可能な米国内のすべての AWS リージョンで、FIPS エンドポイントを提供しています。FIPS エンドポイントを使用する場合、転送中のすべてのデータは、連邦情報処理標準 (FIPS)140-2 に準拠する暗号化標準を使用して暗号化されます。AppStream 2.0 エンドポイントのリストなど、FIPS エンドポイントの詳細については、[Federal Information Processing Standard (FIPS) 140-2](https://aws.amazon.com/compliance/fips) を参照してください。

**Topics**
+ [管理用の FIPS エンドポイント](FIPS-for-administrative-use.md)
+ [ユーザーストリーミングセッションの FIPS エンドポイント](FIPS-for-user-streaming-sessions.md)
+ [例外](FIPS-exceptions.md)

# 管理用の FIPS エンドポイント
<a name="FIPS-for-administrative-use"></a>

AppStream 2.0 に対して AWS CLI コマンドを実行するときに FIPS エンドポイントを指定するには、`endpoint-url` パラメータを使用します。以下の例では、米国西部 (オレゴン) リージョンの AppStream 2.0 FIPS エンドポイントを使用して、そのリージョン内のすべてのスタックのリストを取得します。

```
aws appstream describe-stacks --endpoint-url https://appstream2-fips.us-west-2.amazonaws.com
```

AppStream 2.0 API オペレーションの FIPS エンドポイントを指定するには、AWS SDK が提供する手順によりカスタムエンドポイントを指定します。

# ユーザーストリーミングセッションの FIPS エンドポイント
<a name="FIPS-for-user-streaming-sessions"></a>

SAML 2.0 またはストリーミング URL を使用してユーザーを認証する場合は、ユーザーのストリーミングセッション用に FIPS 準拠の接続を設定できます。

SAML 2.0 を使用して認証するユーザーに FIPS 準拠の接続を使用するには、フェデレーションのリレーステートを設定するときに AppStream 2.0 FIPS エンドポイントを指定します。SAML 2.0 を使用した ID フェデレーション用のリレーステート URL の生成の詳細については、[SAML のセットアップ](external-identity-providers-setting-up-saml.md) を参照してください。

ストリーミング URL を介して認証するユーザー用に FIPS 準拠の接続を構成するには、AppStream 2.0 FIPS エンドポイントを指定しながら、(AWS CLI または AWS SDK から) [CreateStreamingURL](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateStreamingURL.html) または [CreateImageBuilderStreamingURL](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateImageBuilderStreamingURL.html) オペレーションを呼び出します。生成された URL を使用してストリーミングインスタンスに接続するユーザーは、FIPS 準拠の接続を使用します。以下の例では、米国東部 (バージニア) リージョンの AppStream 2.0 FIPS エンドポイントを使用して、FIPS 準拠のストリーミング URL を生成します。

```
aws appstream create-streaming-url --stack-name stack-name --fleet-name fleet-name --user-id user-id --endpoint-url https://appstream2-fips.us-east-1.amazonaws.com
```

# 例外
<a name="FIPS-exceptions"></a>

FIPS 準拠の接続は以下のシナリオではサポートされません。
+ AppStream 2.0 コンソール経由の AppStream 2.0 の管理
+ AppStream 2.0 ユーザープール機能を使用して認証するユーザーのストリーミングセッション
+ インターフェイス VPC エンドポイントを使用したストリーミング
+ AppStream 2.0 コンソールからの FIPS 準拠のストリーミング URL の生成
+ ストレージプロバイダーが FIPS エンドポイントを提供しない、Google Drive または OneDrive ストレージアカウントへの接続