기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# Amazon AppStream 2.0의 데이터 보호
<a name="data-protection"></a>

AWS [공동 책임 모델](https://aws.amazon.com/compliance/shared-responsibility-model/)은 Amazon AppStream 2.0의 데이터 보호에 적용됩니다. 이 모델에서 설명하는 것처럼 AWS은 모든 AWS 클라우드를 실행하는 글로벌 인프라를 보호할 책임이 있습니다. 사용자는 인프라에서 호스팅되는 콘텐츠를 관리해야 합니다. 이 콘텐츠에는 사용하는 AWS 서비스 서비스의 보안 구성과 관리 작업이 포함되어 있습니다. 데이터 프라이버시에 대한 자세한 내용은 [데이터 프라이버시 FAQ](https://aws.amazon.com/compliance/data-privacy-faq)를 참조하십시오. 유럽의 데이터 보호에 대한 자세한 내용은 *AWS 보안 블로그*의 [AWS 공동 책임 모델 및 GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 블로그 게시물을 참조하세요.

데이터를 보호하려면 AWS 계정 보안 인증 정보를 보호하고 AWS Identity and Access Management(IAM)를 통해 개별 사용자 계정을 설정하는 것이 좋습니다. 이러한 방식에서는 각 사용자에게 자신의 직무를 충실히 이행하는 데 필요한 권한만 부여됩니다. 또한 다음과 같은 방법으로 데이터를 보호하는 것이 좋습니다.
+ 각 계정에 다중 인증(MFA)을 사용하세요.
+ SSL/TLS를 사용하여 AWS 리소스와 통신하세요. TLS 1.2를 권장합니다.
+ AWS CloudTrail로 API 및 사용자 활동 로깅을 설정합니다.
+ AWS 암호화 솔루션을 AWS 서비스 내의 모든 기본 보안 컨트롤과 함께 사용합니다.
+ Amazon S3에 저장된 개인 데이터를 검색하고 보호하는 데 도움이 되는 Amazon Macie와 같은 고급 관리형 보안 서비스를 사용합니다.
+ 명령줄 인터페이스 또는 API를 통해 AWS에 액세스할 때 FIPS 140-2 검증된 암호화 모듈이 필요한 경우 FIPS 엔드포인트를 사용합니다. 사용 가능한 FIPS 엔드포인트에 대한 자세한 내용은 [Federal Information Processing Standard(FIPS) 140-2](https://aws.amazon.com/compliance/fips/)를 참조하세요.

고객의 이메일 주소와 같은 기밀 정보나 중요한 정보는 태그나 [**이름(Name)**] 필드와 같은 자유 양식 필드에 입력하지 않는 것이 좋습니다. 여기에는 AppStream 2.0 또는 기타 AWS 서비스에서 콘솔, API, AWS CLI 또는 AWS SDK를 사용하여 작업하는 경우가 포함됩니다. 이름에 사용되는 태그 또는 자유 형식 필드에 입력하는 모든 데이터는 청구 또는 진단 로그에 사용될 수 있습니다. 외부 서버에 URL을 제공할 때 해당 서버에 대한 요청을 검증하기 위해 자격 증명 정보를 URL에 포함시켜서는 안됩니다.

**Topics**
+ [유휴 데이터 암호화](encryption-rest.md)
+ [전송 중 데이터 암호화](encryption-transit.md)
+ [관리자 컨트롤](administrator-controls.md)
+ [애플리케이션 액세스](application-access.md)

# 유휴 데이터 암호화
<a name="encryption-rest"></a>

AppStream 2.0 플릿 인스턴스는 본질적으로 휘발성입니다. 사용자의 스트리밍 세션이 완료되면 기본 인스턴스 및 연결된 Amazon Elastic Block Store(Amazon EBS) 볼륨이 종료됩니다. 또한 AppStream 2.0에서는 사용되지 않는 인스턴스를 주기적으로 재활용하여 유효성을 유지합니다.

사용자에 대해 [애플리케이션 설정 지속성](how-it-works-app-settings-persistence.md), [홈 폴더](home-folders-admin.md), [세션 스크립트](enable-S3-bucket-storage-session-script-logs.md) 또는 [사용 보고서](enable-usage-reports.md)를 활성화하면 사용자가 생성한 데이터는 Amazon Simple Storage Service 버킷에 저장되며, 저장되는 동안 암호화됩니다. AWS Key Management Service는 안전하고 가용성이 높은 하드웨어와 소프트웨어를 결합하여 클라우드에 맞게 확장된 키 관리 시스템을 제공하는 서비스입니다. Amazon S3는 [AWS 관리형 CMK](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk)를 사용하여 Amazon S3 객체 데이터를 암호화합니다.

# 전송 중 데이터 암호화
<a name="encryption-transit"></a>

다음 표는 전송 중 데이터가 암호화되는 방법에 대한 정보를 제공합니다. 해당할 경우 AppStream 2.0에 대한 다른 데이터 보호 방법도 나열됩니다.


| Data | 네트워크 경로 | 보호 방법 | 
| --- | --- | --- | 
|  웹 자산 이 트래픽에는 이미지 및 JavaScript 파일과 같은 자산이 포함됩니다.  |  AppStream 2.0 사용자와 AppStream 2.0 사이  | TLS 1.2를 사용하여 암호화 | 
| 픽셀 및 관련 스트리밍 트래픽 | AppStream 2.0 사용자와 AppStream 2.0 사이 |  256비트 고급 암호화 표준(AES-256)을 사용하여 암호화 TLS 1.2를 사용하여 전송  | 
| API 트래픽 | AppStream 2.0 사용자와 AppStream 2.0 사이 |  TLS 1.2를 사용하여 암호화 연결 생성 요청은 SIGv4를 사용하여 서명됩니다.  | 
| 사용자가 생성한 애플리케이션 설정 및 홈 폴더 데이터 애플리케이션 설정 지속성 및 홈 폴더가 활성화된 경우에 적용됩니다.  | AppStream 2.0 사용자와 Amazon S3 사이 | Amazon S3 SSL 엔드포인트를 사용하여 암호화 | 
| AppStream 2.0 관리형 트래픽 |  AppStream 2.0 스트리밍 인스턴스와 다음 사이: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/appstream2/latest/developerguide/encryption-transit.html)  | TLS 1.2를 사용하여 암호화 연결 생성 요청은 해당될 경우 SIGv4를 사용하여 서명됩니다. | 

# 관리자 컨트롤
<a name="administrator-controls"></a>

AppStream 2.0에서는 사용자가 로컬 컴퓨터와 AppStream 2.0 플릿 인스턴스 간에 데이터를 전송할 수 있는 방법을 제한하는 데 사용할 수 있는 관리자 컨트롤을 제공합니다. [AppStream 2.0 스택을 생성하거나 업데이트](set-up-stacks-fleets-install.md)할 때 다음을 제한하거나 비활성화할 수 있습니다.
+ 클립보드/복사 및 붙여넣기 작업
+ 폴더 및 드라이브 리디렉션을 포함한 파일 업로드 및 다운로드
+ 인쇄

AppStream 2.0 이미지를 생성할 때 Windows용 AppStream 2.0 클라이언트에서 AppStream 2.0 플릿 인스턴스로 리디렉션하는 데 사용하는 USB 디바이스를 지정할 수 있습니다. 지정한 USB 디바이스는 사용자의 AppStream 2.0 스트리밍 세션 중에 사용할 수 있습니다. 자세한 내용은 [스트리밍 애플리케이션에 사용할 USB 디바이스 승인](qualify-usb-devices.md) 섹션을 참조하세요.

# 애플리케이션 액세스
<a name="application-access"></a>

기본적으로 AppStream 2.0을 사용하면 이미지에서 지정한 애플리케이션이 이미지 빌더 및 플릿 인스턴스에서 다른 애플리케이션 및 실행 파일을 시작할 수 있습니다. 이렇게 하면 다른 애플리케이션에 종속성이 있는 애플리케이션(예: 브라우저를 실행하여 제품 웹 사이트로 이동하는 애플리케이션)이 예상대로 작동합니다. 사용자에게 리소스에 액세스하고 로컬 컴퓨터와 플릿 인스턴스 간에 데이터를 전송하는 데 필요한 최소 권한을 부여하도록 관리자 컨트롤, 보안 그룹 및 기타 보안 소프트웨어를 구성해야 합니다.

[Microsoft AppLocker](https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/applocker/applocker-overview)와 같은 애플리케이션 컨트롤 소프트웨어와 정책을 사용하여 사용자가 실행할 수 있는 애플리케이션과 파일을 제어할 수 있습니다. 애플리케이션 컨트롤 소프트웨어 및 정책은 사용자가 AppStream 2.0 이미지 빌더와 플릿 인스턴스에서 실행할 수 있는 실행 파일, 스크립트, Windows 설치 프로그램 파일, 동적 연결 라이브러리 및 애플리케이션 패키지를 제어하는 데 도움이 됩니다.

**참고**  
AppStream 2.0 에이전트 소프트웨어는 Windows 명령 프롬프트와 Windows Powershell을 사용하여 스트리밍 인스턴스를 프로비저닝합니다. 사용자가 Windows 명령 프롬프트 또는 Windows Powershell을 시작하지 못하도록 선택한 경우 Windows NT AUTHORITY\$1SYSTEM 또는 관리자 그룹의 사용자에게 정책을 적용하면 안 됩니다.


| 규칙 타입 | Action | Windows 사용자 또는 그룹 | Name/Path | Condition | 설명 | 
| --- | --- | --- | --- | --- | --- | 
| 실행 가능 | 허용 | NT AUTHORITY\$1System | \$1 | 경로 | AppStream 2.0 에이전트 소프트웨어에 필요합니다. | 
| 실행 가능 | 허용 | BUILTIN\$1Administrators | \$1 | 경로 | AppStream 2.0 에이전트 소프트웨어에 필요합니다. | 
| 실행 가능 | 허용 | 모든 사람 | %PROGRAMFILES%\$1nodejs\$1\$1 | 경로 | AppStream 2.0 에이전트 소프트웨어에 필요합니다. | 
| 실행 가능 | 허용 | 모든 사람 | %PROGRAMFILES%\$1NICE\$1\$1 | 경로 | AppStream 2.0 에이전트 소프트웨어에 필요합니다. | 
| 실행 가능 | 허용 | 모든 사람 | %PROGRAMFILES%\$1Amazon\$1\$1 | 경로 | AppStream 2.0 에이전트 소프트웨어에 필요합니다. | 
| 실행 가능 | 허용 | 모든 사람 | %PROGRAMFILES%\$1<default-browser>\$1\$1 | 경로 | Google Drive 또는 Microsoft OneDrive for Business와 같은 영구 스토리지 솔루션을 사용하는 경우 AppStream 2.0 에이전트 소프트웨어에 필요합니다. AppStream 2.0 홈 폴더를 사용할 때는 이 예외가 필요하지 않습니다. |