기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Amazon AppStream 2.0의 쿠키 기반 인증
AppStream 2.0은 브라우저 쿠키를 사용하여 스트리밍 세션을 인증하고 사용자가 매번 로그인 자격 증명을 다시 입력하지 않고 활성 세션에 다시 연결할 수 있도록 허용합니다. 인증 토큰은 모든 인증 시나리오에 대해 브라우저 쿠키에 저장됩니다. 쿠키는 많은 온라인 서비스에 필요하지만 쿠키 도난 공격에 취약할 수 있습니다. 사용자의 디바이스에 강력한 엔드포인트 보호 솔루션을 구현하는 등 쿠키 도난을 방지하기 위한 사전 예방 조치를 취하는 것이 좋습니다. 또한 쿠키 도난 시 잠재적 영향을 완화하기 위해 다음 조치를 고려하는 것이 좋습니다.
-
단일 세션 제한 적용: AppStream 2.0 Windows 이미지
HKEY_USERS\S-1-5-18\Software\GSettings\com\nicesoftware\dcv\session-management의 경우 한 번에 하나의 연결만 허용하도록 이름이 1로 max-concurrent-clients 설정된 레지스트리 키를 에 생성합니다. 이렇게 하면 동시 세션 수가 1개로 제한되고 활성 세션의 미러링이 차단됩니다. 자세한 내용은 세션 관리 파라미터 섹션을 참조하세요. -
세션 만료 및 재인증 적용
-
사용자가 스트리밍 세션을 성공적으로 시작한 후 인증 토큰이 만료되도록 SessionDuration 값을 줄입니다. sessionDuration 만료 후 인증 쿠키를 재사용하려면 사용자가 스스로 재인증해야 합니다. 는 재인증이 필요하기 전에 사용자의 페더레이션 스트리밍 세션이 활성 상태를 유지할 수 있는 최대 시간을 SessionDuration 지정합니다. 기본값은 60분입니다. 자세한 내용은 5단계: SAML 인증 응답에 대한 의견 생성 단원을 참조하십시오.
-
보안을 극대화하려면 사용자는 스트리밍 창을 닫는 대신 도구 모음으로 세션을 올바르게 종료해야 합니다(세션 종료). 도구 모음을 통해 세션을 종료하면 사용자 세션과 스트리밍 인스턴스가 모두 종료됩니다. 이렇게 하려면 향후 액세스를 위해 재인증이 필요하므로 쿠키 오용이 방지됩니다. 사용자가 세션을 종료하지 않고 스트리밍 창을 닫으면 세션과 인스턴스는 구성 가능한 연결 해제 제한 시간(분) 동안 활성 상태로 유지됩니다. 연결 해제 제한 시간은 1~5760 사이의 숫자여야 하며 기본값은 15분입니다. 비활성 세션의 오용을 방지하려면 짧은 연결 해제 제한 시간을 설정하는 것이 좋습니다. 자세한 내용은 Amazon AppStream 2.0에서 플릿 생성 단원을 참조하십시오.
-
-
스트림 AppStream 2.0 애플리케이션에 대한 액세스를 IP 범위로 제한합니다. IP 기반 IAM 정책을 구현하는 것이 좋습니다. 이렇게 하면 IP 주소가 승인된 IP 범위에 속하는 클라이언트에서만 AppStream 2.0 세션에 액세스할 수 있습니다. 클라이언트의 IP 주소가 승인된 범위를 벗어나는 사용자가 시작한 모든 연결 시도는 유효한 인증 쿠키(사용자로부터 도난당할 가능성이 있음)를 제시하는 경우에도 거부됩니다. 자세한 내용은 Amazon AppStream 2.0 애플리케이션을 IP 범위로 스트리밍하기 위한 액세스 제한을 참조하세요
. -
추가 인증 추가 : 도메인 조인 스트리밍 인스턴스를 시작하려면 AppStream 2.0 Always-On 및 On-Demand Windows 플릿 및 이미지 빌더를 Microsoft Active Directory의 도메인에 조인하고 클라우드 기반 또는 온프레미스의 기존 Active Directory 도메인을 사용할 수 있습니다. 초기 SAML기반 인증 후 사용자는 조직 도메인에 대한 추가 인증을 위해 도메인 자격 증명을 제공하라는 메시지가 표시됩니다. 자세한 내용은 AppStream 2.0에서 Active Directory 사용 단원을 참조하십시오.
우려 사항이 있거나 도움이 필요한 경우 AWS Support 센터
